Tòa nhà giảng đường của Đại học Phoenix. Ảnh Bleeping Computer

Theo thông báo của Đại học Phoenix (University of Phoenix - UoPX), tội phạm mạng đã xâm nhập vào mạng lưới hạ tầng CNTT của UoPX từ tháng 8, lợi dụng lỗ hổng zero-day trong hệ thống ứng dụng tài chính Oracle E-Business Suite (EBS) để đánh cắp dữ liệu nhạy cảm. Tuy nhiên, đến ngày 21/11, nhà trường mới phát hiện sự cố, sau khi tên của UoPX xuất hiện trên trang rò rỉ dữ liệu của nhóm tin tặc.

Đại học Phoenix có trụ sở tại bang Arizona, được thành lập năm 1976, hiện có khoảng 82.700 sinh viên theo học và 3.400 nhân viên, trong đó gần 2.300 là giảng viên. Đầu tháng 12, trường đã công bố sự cố trên website chính thức, đồng thời Phoenix Education Partners, công ty mẹ của UoPX đã nộp báo cáo mẫu 8-K lên Ủy ban Chứng khoán và Giao dịch Mỹ (SEC).

Theo thông báo của nhà trường, dữ liệu bị truy cập trái phép bao gồm họ tên, thông tin liên hệ, ngày sinh, số an sinh xã hội, số tài khoản ngân hàng và mã định tuyến, liên quan đến sinh viên hiện tại và cựu sinh viên, cán bộ, giảng viên cũng như các nhà cung cấp.

Bà Andrea Smiley, Phó Chủ tịch phụ trách Quan hệ công chúng của UoPX, cho biết nhà trường đang rà soát phạm vi dữ liệu bị ảnh hưởng và sẽ gửi thông báo bắt buộc tới các cá nhân liên quan cũng như cơ quan quản lý theo quy định.

Trong các thư thông báo nộp lên Văn phòng Tổng chưởng lý bang Maine và gửi trực tiếp tới người bị ảnh hưởng, UoPX xác nhận 3.489.274 cá nhân đã bị tác động bởi vụ rò rỉ dữ liệu. Giải quyết hậu quả từ sự cố này, trường hiện cung cấp dịch vụ bảo vệ danh tính miễn phí, bao gồm: bảo hiểm gian lận trị giá 1 triệu USD, 12 tháng giám sát tín dụng, hỗ trợ khôi phục danh tính và theo dõi thông tin trên “dark web”.

Dù chưa chính thức xác định thủ phạm, các chi tiết được công bố cho thấy vụ việc nằm trong chiến dịch tấn công tống tiền của nhóm Clop, khai thác lỗ hổng zero-day CVE-2025-61882 trong Oracle EBS từ đầu tháng 8/2025.

Cùng chiến dịch này, Clop cũng đã tấn công nhiều trường đại học lớn khác tại Mỹ, trong đó có Đại học Harvard và Đại học Pennsylvania, đều xác nhận bị xâm nhập hệ thống Oracle EBS.

Trước đó, Clop từng đứng sau hàng loạt vụ đánh cắp dữ liệu quy mô lớn, nhắm vào các nền tảng như GoAnywhere MFT, Accellion FTA, MOVEit Transfer, Cleo và gần đây nhất là Gladinet CentreStack. Bộ Ngoại giao Mỹ hiện treo mức thưởng 10 triệu USD cho thông tin giúp xác định mối liên hệ giữa các cuộc tấn công của nhóm này với một chính phủ nước ngoài.

Đáng chú ý, từ cuối tháng 10, nhiều trường đại học Mỹ khác cũng ghi nhận các vụ xâm nhập thông qua tấn công lừa đảo bằng giọng nói (vishing), khiến dữ liệu cá nhân của sinh viên, cựu sinh viên, giảng viên và nhà tài trợ bị đánh cắp, cho thấy ngành giáo dục đang trở thành mục tiêu ngày càng hấp dẫn của tội phạm mạng.

An Lâm (Theo Bleeping Computer)