ShinyHunters - хакерская группа, стоящая за рядом крупнейших утечек данных последних лет, - опубликовала более 40 гигабайт похищенных данных Ноттингемского университета, раскрыв персональные записи около 455 000 нынешних и бывших студентов трёх международных кампусов. Украденные данные уже распространяются в открытом доступе, и у пострадавших не осталось практических способов ограничить масштаб утечки.
Что похищено и кто пострадал
Утечка затронула студентов и выпускников кампусов Ноттингемского университета в Великобритании, Малайзии и Китае. По данным анализа опубликованных файлов, в базе содержатся:
- Документы, удостоверяющие личность: номера и копии паспортов, данные удостоверений личности
- Финансовые записи: номера международных банковских счетов (IBAN), история платежей
- Чувствительные персональные данные: этническое происхождение, сведения об инвалидности, медицинские документы
- Академические записи: данные о зачислении, оценки, дисциплинарные записи
- Контактная информация: домашние адреса, номера телефонов, адреса электронной почты
Совокупность паспортных данных, финансовых записей и конфиденциальных категорий - таких как этническое происхождение и инвалидность - создаёт особенно серьёзные риски. Для 455 000 пострадавших реальна угроза мошенничества с персональными данными, таргетированного фишинга и дискриминации на основе утёкших сведений.
Как произошла утечка: уязвимость нулевого дня в Oracle PeopleSoft
Атака была проведена с использованием CVE-2026-35273 - критической уязвимости в Oracle PeopleSoft с оценкой CVSS 9.8. Брешь позволяла выполнять удалённый код без какой-либо аутентификации через стандартный HTTP-запрос: без учётных данных, без инсайдерского доступа, без социальной инженерии. Злоумышленник мог подключиться к системе напрямую из интернета и выполнять произвольные команды с привилегиями уровня сервера.
Oracle PeopleSoft широко применяется в высшей школе как система управления предприятием (ERP) - именно для хранения тех данных, что оказались скомпрометированы: студенческих записей, HR-файлов, финансовых счетов и административных данных. Развёртывание в Ноттингемском университете охватывало все три кампуса, что и объясняет транснациональный масштаб утечки. По имеющимся данным, ShinyHunters эксплуатировали уязвимость до выхода публичного патча, что классифицирует атаку как zero-day.
Нарастающая кампания взломов ShinyHunters
Взлом Ноттингема - последний эпизод в том, что исследователи безопасности всё чаще называют стратегией "вечного дампа" ShinyHunters: систематическая атака на организации с крупными централизованными базами данных и публикация похищенного вне зависимости от того, выплачен ли выкуп. Среди подтверждённых предыдущих жертв группы - Carnival Corporation (около 6 миллионов записей пассажиров), Ticketmaster (560 миллионов записей), Santander Bank и десятки компаний, данные которых были похищены через скомпрометированные аккаунты Snowflake в 2025 году.
В отличие от групп-вымогателей, шифрующих данные и требующих оплату за ключ расшифровки, ShinyHunters публикует данные публично - иногда на криминальных форумах, иногда в открытом доступе. Это делает ущерб необратимым: после того как сканы паспортов и номера IBAN проиндексированы по всему даркнету, жертвы не могут устранить последствия утечки вне зависимости от последующих действий университета или правоохранительных органов.
Реакция университета и уведомление регуляторов
Ноттингемский университет подтвердил инцидент и сообщил, что уведомил Управление комиссара по информации Великобритании (ICO) и Action Fraud - национальный центр по борьбе с мошенничеством и киберпреступностью. В соответствии с GDPR и его британским аналогом организации обязаны сообщать об утечках в ICO в течение 72 часов с момента их обнаружения, если существует риск для прав и свобод граждан.
Университет заявил, что связывается с пострадавшими напрямую. Однако при 455 000 затронутых лиц в трёх странах процесс уведомления займёт значительное время - в течение которого студенты и выпускники будут оставаться в неведении относительно своей конкретной экспозиции. Тем, кто учился в Ноттингеме в Великобритании, Малайзии или Китае, следует считать свои паспортные данные потенциально скомпрометированными и связаться с банками по поводу счетов, привязанных к раскрытым номерам IBAN.
Почему университетские сети - приоритетные мишени
Университеты превратились в приоритетные цели для продвинутых хакерских групп по структурным причинам. Они хранят многолетние записи о многочисленных студентах - включая чувствительные категории данных, которые финансовые учреждения, как правило, защищают значительно тщательнее. Международные кампусы создают дополнительную сложность: управление данными в соответствии с законодательством Великобритании, Малайзии и Китая означает, что стандарты безопасности могут применяться непоследовательно. ERP-системы вроде PeopleSoft нередко работают на устаревших конфигурациях, а цикл обновлений в высшей школе обычно отстаёт от корпоративного сектора - из-за бюджетных ограничений и сложности обновления систем, которые функционируют непрерывно в течение всего учебного года.
Для студентов и сотрудников, использующих VPN для удалённого доступа к ресурсам университетской сети, взлом Ноттингема напоминает: зашифрованные туннели защищают данные в пути, но не могут компенсировать уязвимости в приложениях и базах данных на другом конце соединения. Когда сама ERP-система поддаётся компрометации без аутентификации, средства сетевой безопасности не дают никакой защиты.
Что будет дальше
ICO вправе выписывать штрафы до 4% мирового годового оборота за серьёзные нарушения GDPR. Утечка в Ноттингеме, затронувшая специальные категории данных сотен тысяч людей, почти наверняка привлечёт внимание регулятора. Центральным вопросом станет: применил ли университет надлежащие технические меры с учётом известного профиля риска развёртывания Oracle PeopleSoft.
Для 455 000 пострадавших практическая реальность суровее. Данные уже в открытом доступе. Акцент должен сместиться с предотвращения на снижение ущерба: мониторинг на предмет мошенничества с персональными данными, бдительность в отношении целевых фишинговых атак, использующих личные данные из утёкшей базы, и настороженность к любым неожиданным контактам, связанным с университетом.
