نقض امنیتی در دانشگاه فینیکس، اطلاعات ۳.۵ میلیون نفر را افشا کرد

انشگاه فینیکس اعلام کرد یک رخنه امنیتی ناشی از بهره‌برداری از یک آسیب‌پذیری روز-صفر در پلتفرم Oracle E-Business Suite (EBS)، اطلاعات ۳٬۴۸۹٬۲۷۴ نفر را تحت تأثیر قرار داده است.

به گفته این دانشگاه، داده‌های افشاشده شامل اطلاعات حساس شخصی و مالی بوده و فرآیند اطلاع‌رسانی به افراد آسیب‌دیده آغاز شده است.

این رخداد در ۲۱ نوامبر ۲۰۲۵ شناسایی شد؛ زمانی که دانشگاه فینیکس فعالیت‌های مشکوکی را در محیط Oracle EBS خود تشخیص داد. بلافاصله پس از آن، کارشناسان امنیت سایبری شخص ثالث وارد عمل شدند و یک تحقیق رسمی آغاز شد. سه روز بعد، در ۲۴ نوامبر، مشخص شد مهاجمان از یک نقص ناشناخته در Oracle EBS سوءاستفاده کرده و طی یک بازه ده‌روزه بین ۱۳ تا ۲۲ اوت ۲۰۲۵ اقدام به استخراج داده‌ها کرده‌اند.

Oracle E-Business Suite یک پلتفرم پرکاربرد برنامه‌ریزی منابع سازمانی (ERP) است که وظایفی مانند منابع انسانی، امور مالی و تدارکات را مدیریت می‌کند. دانشگاه فینیکس از این نرم‌افزار برای عملیات داخلی خود استفاده می‌کرد و این رخنه امنیتی تأثیری بر برنامه‌های آموزشی آن نداشته است. با این حال، در جریان این حمله نام افراد، تاریخ تولد، شماره‌های تأمین اجتماعی و همچنین شماره حساب‌ها و شماره مسیرهای بانکی استخراج شده‌اند؛ هرچند اطلاعات ورود به این حساب‌ها افشا نشده است.

دانشگاه فینیکس که یک مؤسسه آموزش آنلاین شناخته‌شده با بیش از ۸۰ هزار دانشجوی عمدتاً بزرگسال است، زیرمجموعه شرکت Phoenix Education Partners به شمار می‌رود و یکی از بزرگ‌ترین دانشگاه‌های انتفاعی ایالات متحده محسوب می‌شود. این حادثه نام دانشگاه فینیکس را به فهرست رو به رشد سازمان‌هایی اضافه می‌کند که از طریق آسیب‌پذیری روز-صفر CVE-2025-61882 در Oracle EBS قربانی شده‌اند؛ نقصی که توسط گروه باج‌افزاری Clop مورد بهره‌برداری قرار گرفته و پیش‌تر سازمان‌هایی مانند Logitech و واشنگتن‌پست را نیز هدف قرار داده است.

در ۲۲ دسامبر ۲۰۲۵، دانشگاه فینیکس ارسال نامه‌های اطلاع‌رسانی به افراد آسیب‌دیده را آغاز کرد و ۱۲ ماه خدمات رایگان حفاظت از هویت را از طریق شرکت IDX ارائه می‌دهد. این خدمات شامل پایش اعتبار مالی، نظارت بر دارک‌وب، پوشش جبران خسارت کلاهبرداری هویتی تا سقف یک میلیون دلار و پشتیبانی کامل برای بازیابی هویت است. افراد مشمول تا ۲۲ مارس ۲۰۲۶ فرصت دارند در این برنامه ثبت‌نام کنند.

اگرچه تاکنون گزارشی از انتشار عمومی داده‌ها یا تلاش برای اخاذی مرتبط با این رخنه منتشر نشده است، اما گستردگی و ماهیت اطلاعات سرقت‌شده نگرانی‌هایی درباره احتمال سرقت هویت و کلاهبرداری در آینده ایجاد کرده است. دانشگاه اعلام کرده است که با وجود هزینه‌های مرتبط با الزامات قانونی، اصلاحات فنی و تقویت امنیت سایبری، انتظار ندارد این حادثه تأثیر قابل‌توجهی بر فعالیت‌های آموزشی یا وضعیت مالی آن داشته باشد.

دانشجویان و کارکنان دانشگاه فینیکس توصیه شده است نسبت به حملات فیشینگ مبتنی بر اطلاعات افشاشده هوشیار باشند و حساب‌های مالی خود را برای شناسایی هرگونه فعالیت مشکوک به‌طور مستمر بررسی کنند.