Education · 2025-12-24
CyberSec Watchdog (সাইবার নিরাপত্তা নজরদারি)

University of Phoenix Breach: Is Your Social Security Number Already on the Dark Web?

ফিনিক্স বিশ্ববিদ্যালয়ের ডেটা হ্যাঁক: আপনার সোশ্যাল সিকিউরিটি নম্বর কি ইতিমধ্যে ডার্ক ওয়েবে পাওয়া যাচ্ছে?

University of Phoenix Breach: Is Your Social Security Number Already on the Dark Web?
www.webpronews.com

কর্পোরেট গুজব বাদ দিন: প্রায় ৩.৫ মিলিয়ন মানুষের ব্যক্তিগত জীবন লুট হয়ে গেছে ফিনিক্স বিশ্ববিদ্যালয়ের সিস্টেমে ওরাকলের জিরো-ডে দুর্বলতা কাজে লাগিয়ে। এটা কোনো ছেলেমানুষি হ্যাক নয়—ক্লপ গ্যাং ছিল, যারা সোশ্যাল সিকিউরিটি নম্বর, জন্মতারিখ আর ব্যাংকের তথ্য চুষে নিচ্ছিল যেন এক ডিজিটাল বুফেতে। আর এবার শুনুন: হ্যাঁক শুরু হয়েছিল আগস্টে, কিন্তু বিশ্ববিদ্যালয় টের পেয়েছিল নভেম্বরে। তিন মাসের নীরব তথ্য রক্তপাত। লজ্জার কথা? নিঃসন্দেহে। কিন্তু আরও খারাপ আসছে।

ক্লপ ফাইল এনক্রিপ্ট করে না। তারা চুরি করে। তারপর টাকা না দিলে সব ফাঁস করে দেওয়ার হুমকি দেয়। এটি কর্পোরেট ব্ল্যাকমেইলের ২.০ সংস্করণ। আর সবচেয়ে বিপজ্জনক হলো? ত্রুটিটি ছিল ওরাকলের ই-বিজনেস স্যুটে—এমন এক সিস্টেম যার উপর অসংখ্য বিশ্ববিদ্যালয় ও প্রতিষ্ঠান নির্ভর করে। তাহলে যদি ফিনিক্স তা ঠিক না করে থাকে, আপনার স্কুল না হ্যাঁক হয়েছে কীভাবে জানবেন? এটা একক ঘটনা নয়—এটা ব্যবস্থাগত।

মন্তব্য (7)
Ex-Student Anon (প্রাক্তন শিক্ষার্থী অজ্ঞাতনামা)
I was a student there from 2020 to 2023. I got the breach notice last week. The irony? I studied cybersecurity there. Now my own SSN and financial data are out there. I can’t even use this on my resume as a ‘real-world case study’ without sounding like a walking joke.

আমি ২০২০ থেকে ২০২৩ পর্যন্ত ওখানকার ছাত্র ছিলাম। আমি গত সপ্তাহে তথ্য চুরির নোটিশ পেয়েছি। ব্যাপারটা কী কৌতুকজনক? আমি সেখানে সাইবার নিরাপত্তা নিয়ে পড়েছি। এখন আমার নিজের এসএসএন ও আর্থিক তথ্য পাওয়া যাচ্ছে। আমি এটাকে আমার রিজুমে এক 'বাস্তব কেস স্টাডি' হিসেবেও ব্যবহার করতে পারি না, মজার চরিত্র হয়ে উঠব না।

CISO of a State College (একটি সরকারি কলেজের মুখ্য তথ্য নিরাপত্তা অধিকর্তা)
This is why we moved to a zero-trust model last year. Legacy ERP systems like Oracle EBS are ticking time bombs if not continuously monitored. The fact that Clop operated undetected for months speaks volumes about how under-resourced most university IT teams are. Budgets go to sports and admin buildings, not firewalls.

এই কারণে আমরা গতবছর জিরো-ট্রাস্ট মডেলে চলে এসেছি। ওরাকল ইবিএস-এর মতো পুরানো ইআরপি সিস্টেম সতত নজরদারি না করা হলে একটি সময় বোমার মতো। ক্লপের কয়েক মাস ধরে ধরা না পড়া সেটা বলে দেয় যে কতটা সীমিত বাজেটে বিশ্ববিদ্যালয়ের আইটি দলগুলো কাজ করে। বাজেট যায় খেলাধুলা আর কর্মকর্তাদের ভবনের জন্য, ফায়ারওয়াল নয়।

TechRegulator Watch (প্রযুক্তি নিয়ন্ত্রক পর্যবেক্ষক)
CISA issued a directive on Oracle EBS vulnerabilities in August. University of Phoenix, like others, failed to act. That’s not a cyber failure—it’s a governance failure. If you store 3.5M SSNs, your patching process should be automatic. Period.

CISA আগস্টে ওরাকল ইবিএস দুর্বলতা নিয়ে নির্দেশিকা জারি করে। ফিনিক্স বিশ্ববিদ্যালয়, অন্যদের মতো, সেটা মানেনি। এটা সাইবার ব্যর্থতা নয়—এটা শাসন ব্যর্থতা। আপনি যদি ৩.৫ মিলিয়ন এসএসএন রাখেন, তাহলে আপনার ঠিক করার পদ্ধতি অটোমেটিক হওয়া উচিত। বিন্দু।

Ex-Student Anon (প্রাক্তন শিক্ষার্থী অজ্ঞাতনামা)
So what happens now? Do I change my SSN? Do banks even allow that?

তাহলে এখন কী হবে? আমি কি আমার এসএসএন পাল্টাব? ব্যাংকগুলো এমনকি তা অনুমতি দেয়?

Privacy Advocate for EdTech (শিক্ষা প্রযুক্তির জন্য গোপনীয়তা পক্ষ।)
The deeper issue? These for-profit universities hoard data like it’s gold, but treat security like it’s trash. They profit from student info, then vanish when breaches hit. We need federal data minimization laws, yesterday.

আসল সমস্যা কী? এই লাভজনক বিশ্ববিদ্যালয়গুলো তথ্য সোনার মতো জমিয়ে রাখে, কিন্তু নিরাপত্তাকে আবর্জনার মতো দেখে। তারা শিক্ষার্থীদের তথ্য থেকে লাভ করে, তারপর তথ্য চুরি হলে হাওয়ায়। আমাদের সারক্ষণিক তথ্য কমানোর আইন দরকার, গতকালই।

Oracle Enterprise Sales Rep (ওরাকল এন্টারপ্রাইজ বিক্রয় প্রতিনিধি)
Look, we sent out patches the moment we knew. It’s on the client to deploy them. We can’t babysit every university’s IT team. But yeah—reputationally, this sucks. We’re working on faster zero-day detection now.

শুনুন, আমরা যতক্ষণ জানলাম, ততক্ষণই প্যাচ পাঠিয়ে দিলাম। ক্লায়েন্টদেরই তা বাস্তবায়ন করা উচিত। প্রতিটি বিশ্ববিদ্যালয়ের আইটি দলকে দেখভাল করা আমাদের কাজ নয়। কিন্তু হ্যাঁ—খ্যাতির দিক থেকে, এটা খারাপ। এখন আমরা বেগবান জিরো-ডে আবিষ্কারে কাজ করছি।

CISO of a State College (একটি সরকারি কলেজের মুখ্য তথ্য নিরাপত্তা অধিকর্তা)
Babysit? Try ‘basic vendor responsibility’. If your software is everywhere, the patch rollout better be push-button, foolproof, and automatic. Otherwise, you’re just another liability.

দেখভাল? এটা 'বেসিক ভেন্ডর দায়িত্ব' বলুন তো। যদি আপনার সফটওয়্যার সব জায়গায় থাকে, তাহলে প্যাচের ছড়ানো হাত দিয়ে ঠেলে যাচ্ছে, ভুল হবে না, আর স্বয়ংক্রিয় হওয়া উচিত। নইলে, আপনি শুধু আরও একটি দায়বদ্ধতা।