University of Pennsylvania confirms new data breach after Oracle hack

Vol à l’étalage de données chez l’Université de Pennsylvanie via une faille Oracle

L’Université de Pennsylvanie a subi une nouvelle violation de données impliquant l’exploitation d’une vulnérabilité inédite dans les serveurs Oracle E-Business Suite (EBS). Des attaquants ont dérobé des informations personnelles appartenant à 1 488 individus, bien que le nombre réel de personnes impactées soit potentiellement plus élevé. Cette attaque s’inscrit dans une campagne plus large menée par le groupe Clop, connu pour exploiter des failles zero-day dans les plateformes Oracle EBS afin de voler des données sensibles. D’autres institutions académiques comme Harvard et Princeton ont également été ciblées récemment par des cyberattaques.

Points clés :

• Une faille de sécurité inconnue (zero-day) dans Oracle E-Business Suite a été exploitée.
• L’Université de Pennsylvanie a confirmé la fuite de données personnelles.
• L’incident fait partie d’une série d’attaques attribuées au groupe Clop.
• D’autres universités prestigieuses ont également été victimes d’attaques similaires.

Vulnérabilités :

• Une vulnérabilité zero-day dans Oracle E-Business Suite (EBS).
• CVE-2025-61882 (mentionnée en lien avec la campagne Clop).

Recommandations :

• L’Université de Pennsylvanie a appliqué les correctifs émis par Oracle pour remédier à la vulnérabilité.
• L’université procède à la notification directe des personnes dont les informations ont été compromises.
• Il est conseillé aux organisations utilisant Oracle E-Business Suite de s’assurer que toutes les mises à jour et correctifs de sécurité sont appliqués immédiatement pour pallier cette vulnérabilité.
• Une vigilance accrue face aux tentatives de phishing, particulièrement celles ciblant les universités prestigieuses.

Source