ShinyHunters, il gruppo di hacker responsabile di alcune delle piu grandi violazioni di dati degli ultimi anni, ha pubblicato oltre 40 gigabyte di dati rubati dall'Universita di Nottingham, esponendo i dati personali di circa 455.000 studenti attuali ed ex-studenti distribuiti su tre campus internazionali. I dati rubati circolano gia pubblicamente, lasciando le vittime senza mezzi pratici per contenere l'esposizione.
Cosa e stato rubato e chi e interessato
La violazione riguarda studenti e alumni dei campus dell'Universita di Nottingham nel Regno Unito, in Malesia e in Cina. Secondo l'analisi dei file pubblicati, la violazione include:
- Documenti d'identita: numeri e copie di passaporti, dati di carte d'identita nazionali
- Dati finanziari: numeri di conto bancario internazionale (IBAN), storico dei pagamenti
- Dati personali sensibili: origine etnica, stato di disabilita, cartelle mediche
- Dati accademici: dati di iscrizione, voti, fascicoli disciplinari
- Informazioni di contatto: indirizzi di casa, numeri di telefono, indirizzi e-mail
La combinazione di dati del passaporto, registri finanziari e categorie sensibili come l'origine etnica e la disabilita crea rischi particolarmente gravi per le 455.000 persone coinvolte.
Come e avvenuta la violazione: la zero-day di Oracle PeopleSoft
L'attacco ha sfruttato CVE-2026-35273, una vulnerabilita critica in Oracle PeopleSoft con un punteggio CVSS di 9,8. La falla consentiva l'esecuzione remota di codice senza autenticazione tramite una semplice richiesta HTTP - senza credenziali, senza accesso interno, senza ingegneria sociale. Un aggressore poteva raggiungere il sistema direttamente da Internet ed eseguire comandi arbitrari con privilegi a livello di server.
Oracle PeopleSoft e ampiamente utilizzato nell'istruzione superiore come sistema ERP per gestire esattamente il tipo di dati qui esposti. Il deployment dell'Universita di Nottingham copriva tutti e tre i campus, il che spiega la portata multinazionale della violazione. ShinyHunters avrebbe sfruttato la vulnerabilita prima che fosse disponibile una patch pubblica.
La crescente campagna di violazioni di ShinyHunters
La violazione di Nottingham e l'ultima voce di quella che i ricercatori di sicurezza chiamano la strategia dell'"eternal dump" di ShinyHunters: prendere sistematicamente di mira organizzazioni con grandi database centralizzati e pubblicare i dati rubati indipendentemente dal pagamento di un riscatto. Le vittime precedenti confermano includono Carnival Corporation (quasi 6 milioni di registri passeggeri), Ticketmaster (560 milioni di record), Santander Bank e decine di aziende i cui dati sono stati rubati tramite account Snowflake compromessi nel 2025.
A differenza dei gruppi ransomware che crittografano i dati e chiedono il pagamento, ShinyHunters pubblica i dati pubblicamente. Questo rende il danno irreversibile: una volta che le copie dei passaporti e i numeri IBAN sono indicizzati nel dark web, le vittime non possono annullare l'esposizione.
Risposta dell'universita e notifica alle autorita
L'Universita di Nottingham ha confermato l'incidente e ha dichiarato di aver notificato l'Information Commissioner's Office (ICO) del Regno Unito e Action Fraud. Ai sensi del GDPR e del suo equivalente britannico, le organizzazioni sono tenute a segnalare le violazioni all'ICO entro 72 ore dalla scoperta quando esiste un rischio per i diritti delle persone.
L'universita ha dichiarato che sta contattando direttamente le persone interessate. Tuttavia, con 455.000 persone in tre paesi, il processo di notifica richiedera tempo.
Perche le reti universitarie sono bersagli ad alto valore
Le universita sono diventate obiettivi privilegiati per ragioni strutturali. Conservano decenni di registri su numerosi studenti, incluse categorie sensibili che le istituzioni finanziarie in genere proteggono con maggiore cura. I campus internazionali creano complessita aggiuntiva: la governance dei dati secondo i framework regolatori britannico, malese e cinese significa che gli standard di sicurezza potrebbero non essere applicati uniformemente.
Per studenti e personale che utilizzano VPN per accedere in remoto alle risorse della rete universitaria, la violazione di Nottingham ricorda che i tunnel crittografati proteggono i dati in transito ma non possono compensare le vulnerabilita nelle applicazioni e nei database all'altro capo della connessione.
Cosa succedera adesso
L'ICO puo infliggere multe fino al 4% del fatturato annuo globale per gravi violazioni del GDPR. La violazione di Nottingham - che copre categorie speciali di dati di centinaia di migliaia di persone - sara probabilmente oggetto di esame normativo.
