La National Autonomous University of Mexico menghadapi salah satu daripada krisis terburuk cybersecurity sejarahnya selepas mengesahkan serangan siber besar-besaran yang akan mendedahkan maklumat sensitif tentang sebahagian besar komunitinya. Insiden itu, yang dirakam antara 31 Disember dan 1 JanuariIa telah menimbulkan keraguan terhadap sistem perlindungan institusi itu dan keupayaannya untuk bertindak balas terhadap ancaman sebesar ini.
Sumber universiti dan pakar keselamatan digital bersetuju bahawa serangan itu bukan sahaja menjejaskan emel institusi dan peribadi, tetapi juga untuk data peribadi, akademik dan kewangan pelajar, pekerja dan kakitangan pengurusan. Walaupun universiti telah cuba untuk kurangkan skopBukti teknikal dan kebocoran menunjukkan senario yang jauh lebih serius daripada yang digambarkan oleh kenyataan rasmi.
Serangan terkoordinasi pada peralihan pertengahan tahun
Pada malam 31 Disember dan awal pagi 1 Januari, Direktorat Jeneral Pengkomputeran dan Teknologi Maklumat dan Komunikasi (DGTIC) Ia kehilangan kawalan operasi beberapa pelayannya sekurang-kurangnya selama jam 18Selang masa itu akan digunakan oleh penyerang untuk bergerak dengan kebebasan yang besar dalam infrastruktur teknologi universiti.
Menurut pembinaan semula yang dijalankan oleh pakar dan wartawan khusus, serangan itu pada mulanya tertumpu pada sistem Sekretariat Pembangunan Institusi (SDI)Tanda pertama yang dapat dilihat ialah kemunculan imej tengkorak di laman web agensi ini, satu isyarat klasik kumpulan penjenayah siber tertentu untuk meninggalkan rekod pencerobohan dan, secara kebetulan, mengeluarkan amaran awam.
Wartawan hal ehwal digital Ignacio Gómez Villaseñor telah mempunyai akses kepada dokumen dalaman dan bukti teknikal yang mengesahkan bahawa kumpulan itu dikenal pasti sebagai "ByteToBreach" Dia berjaya menyusup masuk ke dalam pelayan UNAM. Analisis forensiknya terhadap fail-fail tersebut menunjukkan bahawa operasi itu bukanlah insiden terpencil, tetapi kemuncak kepada beberapa siri pelanggaran sebelumnya.
Menurut siasatan ini, serangan besar-besaran itu akan membahayakan sekurang-kurangnya 200 komunikasi atau e-mel daripada Pejabat Rektor dan emel daripada lebih 300.000 ahli komuniti universitiDi samping itu, terdapat pelbagai repositori data dengan maklumat yang sangat sensitif, kebanyakannya dikaitkan dengan perkhidmatan pentadbiran dan kewangan.
Data peribadi, akademik dan kewangan menjadi tumpuan
Maklumat yang dikompromikan akan merangkumi pelbagai jenis data peribadi dan akademik, daripada elemen pengenalpastian asas hingga dokumentasi dalaman peringkat tinggi. Laporan dalaman menunjukkan bahawa bahan yang terdedah akan merangkumi nombor akaun, pendaftaran universiti, resit pemindahan bank dan invois, serta kata laluan yang disulitkan yang berkaitan dengan akaun institusi.
Penyerang akan mendapat akses kepada emel peribadi dan institusi pelajar, ahli akademik, kakitangan pentadbiran dan pengurusan, yang merangkumi, menurut kebocoran, komunikasi sulit pegawai tinggi dari universiti dan mesej yang datang dari Pejabat RektorLapisan maklumat ini amat sensitif, kerana ia berpotensi mengandungi keputusan dalaman, perbincangan strategik dan dokumentasi pengurusan universiti.
Antara fail yang mungkin terdedah juga disebut dokumen pentadbiran dan resit pembayaran, serta rekod yang dikaitkan dengan perkhidmatan pengurusan pengebilan dan pendaftaranMemandangkan jumlah maklumat yang banyak terlibat, komuniti universiti bimbang sebahagian daripada data ini boleh digunakan untuk penipuan kewangan, kecurian identiti atau pemerasan.
Tahap kebocoran, menurut analisis yang ada, boleh menjejaskan lebih daripada 380.000 pelajar dan ahli akademiksatu angka yang akan menjadikan kejadian ini salah satu daripada Penggodaman paling serius yang dialami oleh sebuah institusi pendidikan di Mexico dan, secara lanjutan, dalam lingkungan Amerika Latin, meletakkannya pada tahap serangan utama lain yang telah menjejaskan universiti-universiti Eropah dan Sepanyol dalam beberapa tahun kebelakangan ini.
Retakan teknikal: kerentanan CVE-2025-66478 dan kegagalan penyelenggaraan
Pada tahap teknikal, laporan menunjukkan bahawa serangan itu mengambil kesempatan daripada kerentanan dikatalogkan sebagai CVE-2025-66478, asociada a pelayan berdasarkan Next.jsKelemahan ini akan kekal tidak dapat diselesaikan semasa tempoh penting, bertepatan dengan peringkat Ketidakpastian kerja dan kelewatan pentadbiran dalam pasukan yang bertanggungjawab untuk pembangunan dan penyelenggaraan sistem.
Gómez Villaseñor sendiri mengaitkan kejayaan serangan itu dengan konteks dalaman universiti. surat bertarikh 19 September 2025, ditandatangani oleh ahli-ahli Penyelarasan Projek Teknologi (CPTI), beliau mengecam perkara itu Jurutera dan pemaju telah berbulan-bulan tanpa gaji. yuran mereka disebabkan oleh "proses audit", yang menimbulkan suasana protes dan ketidakpastian dalam bidang teknologi.
Senario ini, ditambah pula dengan tekanan harian terhadap perkhidmatan digital, akan menghalang pelaksanaan pesat tampalan keselamatan dan tugas penyelenggaraan kritikalOleh itu, kerentanan CVE-2025-66478 kekal aktif cukup lama untuk penyerang mengeksploitasinya dengan agak mudah, membuka pintu masuk ke sistem teras.
Selain kelemahan dalam pelayan Next.js, penjenayah siber akan menjejaskan Pengimbang beban F5 BIG-IPIni adalah elemen penting dalam pengurusan trafik rangkaian. Dengan mengawal peralatan ini, mereka dapat mengalihkan sambungan, memintas maklumat dan memudahkan pergerakan lateral dalam infrastruktur, sekali gus meningkatkan kedalaman pencerobohan.
Kaedah yang digunakan oleh kumpulan ByteToBreach
Bukti teknikal yang dikumpul menggambarkan rantaian serangan yang canggih yang menggabungkan beberapa teknik yang telah diketahui dalam bidang keselamatan siber. Di satu pihak, mereka akan menggunakan kunci SSH peribadi terdedah Dalam peralatan universiti, ini merupakan amalan berisiko yang, jika tidak diuruskan dengan betul, akan membuka akses langsung kepada pelayan dalaman dengan sedikit halangan.
Sebaik sahaja masuk, kumpulan itu pasti akan naik pangkat untuk mendapatkan akses. Akar al Direktori LDAP, jantung sistem pengesahan dan pengurusan identiti institusi. Dengan tahap kawalan itu, adalah mungkin membuat pertanyaan, mengubah suai dan mengekstrak rekod secara pukal pengguna, yang akan menjelaskan magnitud kebocoran plat lesen, emel dan kata laluan yang disulitkan.
Hakikat bahawa penyerang menerbitkan pecahan terperinci tentang langkah-langkah yang diambil untuk menceroboh sistem bukanlah satu kebetulan. Seperti yang dijelaskan oleh Gómez Villaseñor, banyak kumpulan memilih untuk mendedahkan maklumat ini kepada umum untuk... untuk melindungi diri mereka daripada kemungkinan penafian institusi dan menunjukkan, dengan bukti teknikal, bahawa pencerobohan itu adalah nyata dan meluas.
Amalan ini, walaupun menimbulkan risiko tambahan dengan menyebarkan vektor serangan, turut mendedahkan sejauh mana sistem yang terjejas boleh mempamerkan konfigurasi yang lemah, kelayakan yang diurus dengan buruk atau tampalan yang tidak digunakan, katalog masalah yang tidak asing bagi universiti Eropah dan Sepanyol lain yang telah mengalami insiden baru-baru ini.
Latar belakang: akses tanpa kebenaran sejak Mac 2025
Serangan siber akhir tahun itu tidak berlaku secara tiba-tiba. komunikasi rasmi daripada Penasihat Undang-Undang UNAM mengesahkan bahawa 13 Mac 2025 Yang pertama telah dikesan "akses tanpa kebenaran" kepada sistem-sistem Sekretariat Pembangunan InstitusiPada masa itu, pihak universiti telah mengemukakan aduan kepada Pejabat Peguam Negara (FGR), secara rasmi memaklumkan pihak berkuasa tentang pelanggaran awal.
Walau bagaimanapun, evolusi prosedur itu tidak begitu pantas. Ogos 2025Pejabat Peguam Negara (FGR) dilaporkan meminta maklumat tambahan daripada unit pentadbiran SDI, memberi amaran bahawa jika data yang diperlukan tidak diberikan, kes itu boleh ditutup. Menurut dokumen yang dipetik, universiti itu tidak menghantar semua maklumat yang diminta, sebahagiannya kerana pasukan teknikal Saya bekerja di bawah protes dan dalam keadaan kerja yang sangat tegang..
Preseden ini adalah tambahan kepada yang lain pelanggaran serius yang direkodkan pada tahun 2024yang telah menimbulkan kebimbangan tentang keadaan sebenar keselamatan siber institusi. Serangan terbaru, yang lebih ketara dan besar-besaran, oleh itu bukanlah kes terpencil, tetapi kemuncak kepada rantaian insiden yang tidak akan ditangani dengan kekerasan yang diperlukan.
Gómez Villaseñor menegaskan bahawa penyerang itu berjaya membuktikan kegigihan dalam sistemIaitu, keupayaan untuk kekal tersembunyi dan mendapatkan semula kawalan pada masa hadapan, walaupun selepas usaha pembersihan reaktif. Jika ini disahkan, universiti akan terpaksa mengkaji semula semua infrastrukturnya dengan teliti, sesuatu yang kompleks dan mahal dari segi masa dan sumber.
Penerbitan dan penjualan maklumat yang dicuri
Sebaik sahaja akses dijamin dan data diekstrak, langkah seterusnya untuk kumpulan penyerang adalah untuk pengewangan maklumatMenurut kebocoran itu, penggodam yang dikenali sebagai ByteToBreach menerbitkan sebahagian daripada pangkalan data UNAM dalam a forum jenayah siber antarabangsa, di bawah tajuk:
Pangkalan Data Universiti UNAM
Jenis iklan ini biasanya disasarkan pada rangkaian media sosial. penjenayah siber yang berminat untuk membeli pakej data untuk pelbagai kegunaan haram: daripada kempen pancingan data besar-besaran hinggalah percubaan penipuan kewangan atau kecurian identiti. Hakikat bahawa iklan tersebut secara eksplisit merujuk kepada universiti besar meningkatkan nilainya dalam pasaran bawah tanah ini.
Potensi bahaya tidak terhad kepada Mexico. Pangkalan data jenis ini boleh digunakan untuk serangan yang menyasarkan syarikat dan organisasi di negara lainIni termasuk Eropah dan Sepanyol, dengan mengeksploitasi alamat e-mel yang digunakan semula, kata laluan yang dikongsi merentasi perkhidmatan dan butiran perbankan yang dikaitkan dengan transaksi antarabangsa. Atas sebab ini, insiden seperti yang berlaku di UNAM dipantau rapi oleh komuniti keselamatan siber Eropah.
Antara risiko yang paling membimbangkan ialah kemungkinan penggunaan maklumat peribadi dan kewangan secara palsu, penciptaan profil terperinci pelajar dan penyelidik untuk kempen kejuruteraan sosial dan penggunaan data sebagai alat tawar-menawar dalam rundingan antara kumpulan jenayah. Semua ini meningkatkan pendedahan, bukan sahaja untuk universiti, tetapi untuk mana-mana entiti yang mengekalkan hubungan dengan ahli komunitinya.
Dokumen dalaman sensitif dan kontroversi tambahan
Serangan itu tidak terhad kepada pengekstrakan data peribadi. Antara fail yang dilaporkan terdedah juga dokumen dalaman Penyelarasan Perkaitan dan Pemindahan Teknologi (CVTT), bertanggungjawab ke atas pengurusan paten dan projek inovasi di universiti.
Menurut maklumat yang bocor, menjelang 2025 UNAM akan dianugerahkan hadiah untuk paten yang berkaitan dengan regenerasi pergigian, walaupun ini telah pun berlaku dilaporkan sebagai plagiarisme pada Jun 2024Kemunculan dokumen-dokumen ini dalam konteks serangan siber menambah dimensi reputasi terhadap insiden itu, dengan membawa keputusan dalaman yang berpotensi kontroversi ke meja rundingan.
Kebocoran fail dalaman jenis ini menunjukkan sejauh mana penyerang dapat mengakses repositori dokumen sensitifmelangkaui pangkalan data operasi yang mudah. ​​Sekiranya bahan tersebut disebarkan sepenuhnya, kontroversi baharu boleh timbul yang menjejaskan pentadbiran pusat dan kumpulan penyelidikan tertentu.
Impak cagaran jenis ini telah diperhatikan dalam kes lain yang berlaku di universiti-universiti Eropah, di mana pelanggaran keselamatan Mereka akhirnya mendedahkan laporan sulit, draf kontrak dan dokumen berkaitan harta intelek, menghasilkan kesan domino melangkaui masalah teknikal semata-mata.
Respons rasmi daripada UNAM dan persepsi awam
Berdepan dengan limpahan maklumat mengenai kejadian itu, pihak DGTIC UNAM Ia mengeluarkan kenyataan di mana ia mengakui "Pencerobohan tanpa kebenaran" dalam sistem mereka. Walau bagaimanapun, mesej rasmi menegaskan bahawa serangan itu telah hanya menjejaskan lima daripada lebih 100.000 sistem komputer yang dimiliki oleh universiti, satu angka yang berbeza dengan magnitud yang digambarkan oleh kebocoran itu.
Institusi itu mendakwa telah serta-merta mengaktifkan protokol keselamatan komputeryang akan merangkumi penutupan pencegahan sistem yang terjejas dan semakan semula perkhidmatan yang terjejas. Walau bagaimanapun, kekurangan butiran konkrit tentang jenis data yang terdedah dan bilangan sebenar orang yang terjejas telah mendorong persepsi bahawa respons rasmi mungkin terlalu berhati-hati, jika tidak langsung tidak mencukupi.
Sementara itu, pakar keselamatan siber menegaskan tentang keperluan universiti untuk menawarkan maklumat yang jelas dan telus kepada komuniti mereka, termasuk cadangan khusus untuk pengurusan kata laluan, pemantauan transaksi bank dan pengesanan potensi percubaan penyamaran. Tanpa komunikasi yang jelas, ramai pengguna masih tidak menyedari tahap risiko yang mereka hadapi.
Serentak dengan itu, perdebatan telah timbul mengenai model tadbir urus teknologi dalam institusi, peruntukan sumber manusia dan kewangan untuk keselamatan digital dan peranan pihak berkuasa universiti dalam hal ini utamakan pelaburan dalam bidang ini, satu perdebatan yang sangat serupa dengan perdebatan yang telah dibincangkan oleh banyak universiti di Sepanyol dan seluruh Eropah selama bertahun-tahun.
Keseluruhan episod ini menekankan kepentingan mempunyai pasukan teknikal yang stabil dan bergaji tinggi dengan ruang untuk bergerakserta dengan pengemaskinian dasar yang berterusan dan audit bebas, elemen-elemen yang, apabila gagal, boleh membuka pintu kepada insiden besar seperti yang sedang menggegarkan UNAM.
Kes ini meninggalkan jejak persoalan yang tidak terjawab tentang skop sebenar serangan siber besar-besaranjumlah data yang telah diedarkan di forum jenayah siber dan keupayaan sebenar universiti untuk memulihkan kepercayaan komuniti. Jika ada yang kelihatan jelas hari ini, ia adalah bahawa institusi itu perlu mengukuhkannya secara mendalam strategi keselamatan siber dan komunikasi mereka dengan pelajar dan kakitangan, dalam konteks antarabangsa di mana universiti, baik di Amerika Latin mahupun di Eropah, telah menjadi sasaran keutamaan penyerang digital.
