La Nacionalni autonomni univerzitet u Meksiku suočava se s jednim od najgore krize cybersecurity svoje historije nakon što je potvrdio masivan sajber napad što bi otkrilo osjetljive informacije o velikom dijelu njegove zajednice. Incident, zabilježen između 31. decembra i 1. januaraTo je dovelo u sumnju zaštitne sisteme institucije i njenu sposobnost da odgovori na prijetnje ovog obima.
Univerzitetski izvori i stručnjaci za digitalnu sigurnost slažu se da napad nije uticao samo na institucionalne i privatne e-poruke, ali i do lične, akademske i finansijske podatke studenata, radnika i upravnog osoblja. Iako je univerzitet pokušao umanjiti obimTehnički dokazi i procurele informacije ukazuju na mnogo ozbiljniji scenario nego što to zvanične izjave odražavaju.
Koordinirani napad usred tranzicijske godine
Tokom noći 31. decembra i ranih jutarnjih sati 1. januara, Generalni direktorat za računarstvo i informaciono-komunikacione tehnologije (DGTIC) Izgubila je operativnu kontrolu nad nekoliko svojih servera na najmanje 18 horasTaj vremenski interval bi napadači iskoristili za znatno slobodno kretanje unutar tehnološke infrastrukture univerziteta.
Prema rekonstrukciji koju su proveli stručnjaci i specijalizirani novinari, napad se prvobitno fokusirao na sisteme Sekretarijat za institucionalni razvoj (SDI)Prvi vidljivi znak bila je pojava slika lobanje na web stranici ove agencije, klasičan gest određenih sajberkriminalnih grupa da ostave zapis o upadu i, usput rečeno, izdaju javno upozorenje.
Novinar za digitalna pitanja Ignacio Gómez Villaseñor imao je pristup internim dokumentima i tehničkim dokazima koji potvrđuju da je grupa identifikovana kao "Bajt za probijanje" Uspio je infiltrirati UNAM-ove servere. Njegova forenzička analiza datoteka sugerira da operacija nije bila izolirani incident, već kulminacija niza prethodnih provala.
Prema ovoj istrazi, masovni napad bi doveo u opasnost najmanje 200 komunikacija ili e-mailova iz Rektorata i e-poruke od više od 300.000 članova univerzitetske zajedniceOsim toga, postoje različita spremišta podataka s posebno osjetljivim informacijama, od kojih su mnoga povezana s administrativnim i financijskim uslugama.
Lični, akademski i finansijski podaci u centru pažnje
Kompromitovane informacije bi pokrivale vrlo širok spektar lični i akademski podaci, od osnovnih identifikacijskih elemenata do interne dokumentacije visokog nivoa. Interni izvještaji ukazuju na to da bi izloženi materijal uključivao brojevi računa, univerzitetske registracije, potvrde o bankovnim transferima i fakture, kao i šifrirane lozinke povezane s institucionalnim računima.
Napadači bi dobili pristup privatni i institucionalni e-mailovi studenata, akademika, administrativnog osoblja i menadžmenta, što uključuje, prema procurjelim informacijama, povjerljive komunikacije visokorangiranih zvaničnika sa univerziteta i poruke koje dolaze sa RektoratOvaj sloj informacija je posebno osjetljiv, jer potencijalno sadrži interne odluke, strateške diskusije i dokumentaciju upravljanja univerzitetom.
Među datotekama koje bi bile otkrivene spominju se i administrativni dokumenti i potvrde o plaćanju, kao i zapise povezane sa usluge upravljanja naplatom i registracijomS obzirom na ogromnu količinu uključenih informacija, univerzitetska zajednica se boji da bi se neki od ovih podataka mogli koristiti za finansijska prevara, krađa identiteta ili iznuda.
Obim curenja, prema dostupnim analizama, mogao bi uticati na više od 380.000 studenata i akademikabrojka koja bi ovaj incident učinila jednim od Najozbiljniji hakerski napadi koje je pretrpjela obrazovna institucija u Meksiku i, šire gledano, u latinoameričkoj sferi, stavljajući ga na nivo drugih velikih napada koji su posljednjih godina pogodili evropske i španske univerzitete.
Tehnička pukotina: ranjivost CVE-2025-66478 i kvar u održavanju
Na tehničkom nivou, izvještaji ukazuju da je napad iskoristio ranjivost katalogizirana kao CVE-2025-66478, povezano sa serveri bazirani na Next.js-uOva slabost bi ostala neriješena tokom ključnog perioda, koji se poklapa sa fazom nesigurnost posla i administrativna kašnjenja u timu odgovornom za razvoj i održavanje sistema.
Sam Gómez Villaseñor povezuje uspjeh napada s internim kontekstom univerziteta. pismo od 19. septembra 2025., potpisano od strane članova Koordinacija tehnoloških projekata (CPTI), osudio je to Inženjeri i programeri su mjesecima bili bez plate. njihove naknade zbog „procesa revizije“, što je stvorilo klimu protesta i nesigurnosti unutar tehnološkog područja.
Ovaj scenario, zajedno sa svakodnevnim pritiskom na digitalne usluge, omeo bi brzu implementaciju sigurnosne zakrpe i kritični zadaci održavanjaDakle, ranjivost CVE-2025-66478 ostala je aktivna dovoljno dugo da je napadači mogu relativno lako iskoristiti, otvarajući ulaz u ključne sisteme.
Pored slabosti u Next.js serverima, sajber kriminalci bi kompromitovali F5 BIG-IP uravnoteživači opterećenjaOvo su ključni elementi u upravljanju mrežnim prometom. Preuzimanjem kontrole nad ovom opremom, mogli su preusmjeravati veze, presresti informacije i olakšati lateralno kretanje unutar infrastrukture, čime su povećali dubinu upada.
Metode koje koristi ByteToBreach grupa
Prikupljeni tehnički dokazi opisuju sofisticirani lanac napada koji je kombinovao nekoliko tehnika već poznatih u oblasti sajber sigurnosti. S jedne strane, koristili bi privatni SSH ključevi otkriveni Kod univerzitetske opreme, ovo je rizična praksa koja, ako se ne upravlja pravilno, otvara direktan pristup internim serverima uz vrlo malo prepreka.
Jednom unutra, grupa bi se popela uz stepenice kako bi dobila pristup. korijen al LDAP direktorij, srce sistema za autentifikaciju i upravljanje identitetom institucije. S tim nivoom kontrole, moguće je upiti, izmjena i izdvajanje zapisa u skupnom formatu korisnika, što bi objasnilo veličinu curenja šifrirane registarske tablice, e-mailove i lozinke.
Činjenica da je napadač objavio detaljan opis koraka poduzetih za probijanje sistema nije slučajnost. Kao što je objasnio Gómez Villaseñor, mnoge grupe odlučuju se da ove informacije objave kako bi... kako bi se zaštitili od potencijalnih odbijanja institucionalno i pokazati, uz tehničke dokaze, da je upad bio stvaran i dalekosežan.
Ova praksa, iako predstavlja dodatni rizik širenjem vektora napada, također otkriva u kojoj mjeri kompromitovani sistemi mogu pokazati slabe konfiguracije, loše upravljani akreditivi ili neprimijenjene zakrpe, katalog problema koji nije stran drugim evropskim i španskim univerzitetima koji su pretrpjeli nedavne incidente.
Pozadina: neovlašteni pristup od marta 2025.
Sajber napad krajem godine nije se dogodio u vakuumu. Zvanična komunikacija glavnog pravnog savjetnika UNAM-a potvrđuje da 13 March of 2025 Prvi je već otkriven "neovlašteni pristup" sistemima Sekretarijat za institucionalni razvojU to vrijeme, univerzitet je predstavio žalba Državnom tužiocu (FGR), službeno obavještavajući vlasti o početnom kršenju.
Međutim, evolucija postupka nije bila baš brza. Avgust 2025Navodno je Ured državnog tužioca (FGR) zatražio dodatne informacije od administrativne jedinice SDI-a, upozoravajući da bi, ukoliko se traženi podaci ne dostave, slučaj mogao biti zatvoren. Prema citiranim dokumentima, univerzitet nije poslao sve tražene informacije, dijelom i zato što je tehnički tim Radio sam pod protestima i u veoma napetim radnim uslovima..
Ovi presedani su pored ostalih ozbiljnih kršenja zabilježenih u 2024. godiništo je već izazvalo uzbunu zbog pravog stanja institucionalne kibernetičke sigurnosti. Najnoviji napad, vidljiviji i masovniji, stoga ne bi bio izoliran slučaj, već kulminacija lanac incidenata što ne bi bilo riješeno s potrebnom energičnošću.
Gómez Villaseñor tvrdi da je napadač čak uspio uspostaviti upornost unutar sistemaTo jest, sposobnost da se ostane skriven i ponovo preuzme kontrola u budućnosti, čak i nakon reaktivnih napora čišćenja. Ako bi se ovo potvrdilo, univerzitet bi bio primoran da temeljito pregledajte svu svoju infrastrukturu, nešto složeno i skupo u smislu vremena i resursa.
Objavljivanje i prodaja ukradenih informacija
Nakon što je pristup osiguran i podaci izvučeni, sljedeći korak za napadačku grupu bio bi monetizacija informacijaPrema procurjelim informacijama, haker poznat kao Bajt za probijanje objavljeni dio UNAM baze podataka u međunarodni forum o kibernetičkom kriminalu, pod naslovom:
Univerzitetske baze podataka UNAM-a
Ove vrste oglasa su obično usmjerene na društvene mreže. sajber kriminalci zainteresovani za kupovinu paketa podataka za različite nezakonite upotrebe: od masovnih phishing kampanja do pokušaja finansijskih prevara ili krađe identiteta. Činjenica da oglas eksplicitno spominje veliki univerzitet povećava njegovu vrijednost na ovim podzemnim tržištima.
Potencijalna šteta nije ograničena samo na Meksiko. Baze podataka ovog tipa mogu se koristiti za napadi usmjereni na kompanije i organizacije u drugim zemljamaTo uključuje Evropu i Španiju, iskorištavanjem ponovno korištenih email adresa, lozinki koje se dijele između servisa i bankovnih podataka povezanih s međunarodnim transakcijama. Iz tog razloga, incidente poput onog na UNAM-u pomno prati evropska zajednica za sajber sigurnost.
Među najzabrinjavajućim rizicima su mogući prevarantska upotreba ličnih i finansijskih podataka, stvaranje detaljni profili studenata i istraživača za kampanje socijalnog inženjeringa i korištenje podataka kao pregovaračkog aduta u pregovorima između kriminalnih grupa. Sve ovo povećava površinu izloženosti, ne samo za univerzitet, već i za bilo koji entitet koji održava veze s članovima svoje zajednice.
Osjetljivi interni dokumenti i dodatne kontroverze
Napad nije bio ograničen samo na ekstrakciju ličnih podataka. Među datotekama koje su navodno bile otkrivene bile su i interni dokumenti Koordinacije povezivanja i transfera tehnologije (CVTT), odgovoran za upravljanje patentima i inovacijskim projektima na univerzitetu.
Prema procurjelim informacijama, UNAM bi do 2025. godine dobio nagradu za patent vezan za regeneraciju zuba, iako je ovo već bilo prijavljeno kao plagijat u junu 2024.Pojava ovih dokumenata u kontekstu sajber napada dodaje reputacijska dimenzija incidentu, donošenjem potencijalno kontroverznih internih odluka na pregovarački stol.
Curenje ovih vrsta internih datoteka pokazuje u kojoj mjeri su napadači mogli pristupiti spremišta osjetljivih dokumenataizvan jednostavnih operativnih baza podataka. Ukoliko se materijal u potpunosti distribuira, mogle bi nastati nove kontroverze koje bi uticale i na centralnu administraciju i na specifične istraživačke grupe.
Ova vrsta kolateralnog uticaja već je uočena u drugim slučajevima koji su se dogodili na evropskim univerzitetima, gdje kršenja sigurnosti Na kraju su otkrili povjerljive izvještaje, nacrte ugovora i dokumente vezane za intelektualno vlasništvo, stvarajući domino efekat koji prevazilazi strogo tehnički problem.
Zvanični odgovor UNAM-a i percepcija javnosti
Suočeni s lavinom informacija o incidentu, DGTIC UNAM-a Izdalo je saopštenje u kojem je priznalo "neovlašteni upad" u njihovim sistemima. Međutim, službena poruka je insistirala da je napad bio uticalo je samo na pet od više od 100.000 računarskih sistema koju univerzitet ima, brojka koja je u suprotnosti s veličinom opisanom u curenjima informacija.
Institucija je tvrdila da je odmah aktivirala protokoli računarske sigurnostikoji bi uključivao preventivno isključivanje kompromitovanih sistema i pregled pogođenih usluga. Međutim, nedostatak konkretnih detalja o vrsti izloženih podataka i stvarnom broju pogođenih ljudi podstakao je percepciju da je službeni odgovor možda previše oprezan, ako ne i potpuno nedovoljan.
U međuvremenu, stručnjaci za kibernetičku sigurnost insistirali su na potrebi da univerzitet ponudi jasne i transparentne informacije svojoj zajednici, uključujući konkretne preporuke za upravljanje lozinkama, praćenje bankovnih transakcija i otkrivanje potencijalnih pokušaja lažnog predstavljanja. Bez jasne komunikacije, mnogi korisnici još uvijek nisu svjesni nivoa rizika s kojim se suočavaju.
Paralelno s tim, pojavile su se debate o modelu tehnološko upravljanje unutar institucije, raspodjela ljudskih i finansijskih resursa za digitalnu sigurnost i uloga univerzitetskih vlasti u tom pogledu prioritet investicija u ovom području, debata vrlo slična onoj koju brojni univerziteti u Španiji i ostatku Evrope vode već godinama.
Cijela ova epizoda naglašava važnost postojanja stabilni, dobro plaćeni tehnički timovi s prostorom za manevriranjekao i sa stalnim ažuriranjem politika i nezavisnim revizijama, elementima koji, kada ne uspiju, mogu otvoriti vrata velikim incidentima poput onog koji trenutno potresa UNAM.
Slučaj ostavlja niz neodgovorenih pitanja o pravom obimu masivan sajber napadkoličina podataka koji su već kružili na forumima o sajber kriminalu i stvarna sposobnost univerziteta da obnovi povjerenje svoje zajednice. Ako se išta danas čini jasnim, to je da će institucija morati duboko ojačati svoje strategija kibernetičke sigurnosti i njihovu komunikaciju sa studentima i osobljem, u međunarodnom kontekstu u kojem su univerziteti, kako u Latinskoj Americi tako i u Evropi, postali prioritetna meta digitalnih napadača.
