Il gruppo criminale ShinyHunters ha violato il sistema di registrazione studenti dell'Università di Nottingham martedì 9 giugno 2026, esponendo i dati di circa 454.600 studenti attuali e ex studenti. L'università conta circa 46.000 studenti iscritti: la violazione supera di quasi dieci volte la popolazione studentesca attuale, indicando inclusione massiccia di alumni. La compromissione riguarda l'istanza Oracle PeopleSoft Campus Solutions, gestita da un terzo mantenitore, e include dati finanziari, numeri nazionali assicurativi britannici e, secondo l'analisi di Have I Been Pwned, anche numeri di passaporto, etnie e disabilità. BleepingComputer ha contattato Oracle senza ricevere risposta al momento della pubblicazione.
- ShinyHunters ha rivendicato l'attacco il 9 giugno pubblicando un archivio di oltre 40 GB di documenti rubati; l'analisi di Have I Been Pwned conferma circa 454.600-455.000 individui interessati
- L'università ha identificato l'attività non autorizzata sul sistema Campus Solutions martedì 9 giugno e ha immediatamente portato i sistemi offline per contenere l'incidente
- I dati esposti includono informazioni finanziarie, dettagli di fatturazione e pagamento, nomi completi, indirizzi, numeri di telefono, date di nascita, etnie, disabilità e numeri di passaporto
- L'attacco rientra in una campagna più ampia che ha colpito oltre 100 organizzazioni con istanze Oracle PeopleSoft
"The University of Nottingham has been the victim of a cyber incident and a significant amount of data in our student record system has been accessed by a well-known cybercriminal group" — Portavoce Università di Nottingham, via email a BleepingComputer
La rivendicazione e la reazione dell'ateneo
ShinyHunters ha pubblicato la rivendicazione sul proprio leak site in data 9 giugno 2026, allegando un archivio di documenti come prova della compromissione. Secondo la dichiarazione diretta del gruppo a BleepingComputer, il volume dei dati rubati supera i 40 GB.
L'Università di Nottingham ha risposto con una comunicazione interna guidata da Jason Carter, chief governance and risk officer. Carter ha confermato l'identificazione di "unauthorised activity on its Campus Solutions system on Tuesday" e l'immediato spegnimento dei sistemi interessati. L'ateneo ha operato sulla base di una "precautionary assumption": Carter ha comunicato agli studenti che si presume l'accesso a quattro categorie di informazioni.
L'università ha segnalato l'incidente ad Action Fraud e all'Information Commissioner's Office, il regolatore britannico per la protezione dati. L'ateneo ha dichiarato di "work with the third party that maintains the platform to lead a forensic investigation".
Il profilo dei dati: da fatturazione a passaporto
L'analisi condotta da Have I Been Pwned ha permesso di quantificare e qualificare il dataset esposto. Il servizio riporta "455k unique email addresses" e un elenco che include "names, addresses, phone numbers, ethnicities, disabilities, passport numbers and information relating to academic enrolments and fee payments".
Questa granularità differisce dalla disclosure istituzionale. L'università ha confermato categorie aggregate: informazioni di contatto, dettagli universitari, dati personali con NI numbers e "protected characteristics", dati finanziari. HIBP ha isolato campi specifici come etnie e disabilità. La fonte non specifica se i numeri di carte di credito siano stati effettivamente esfiltrati o se i "credit card and payment details" di BleepingComputer si riferiscano a dati di transazione senza numeri completi.
Il meccanismo di attacco: gadget chain contro PeopleSoft
ShinyHunters ha dichiarato a BleepingComputer di utilizzare una "gadget chain" che combina zero-day e vulnerabilità legacy. Il gruppo ha sottolineato che il successo dell'exploitation "dipende dalla configurazione di ciascuna istanza". Il brief non conferma esecuzione di codice remota come outcome: specifica solo accesso non autorizzato.
L'attacco rientra in una campagna che, secondo BleepingComputer, ha colpito oltre 100 organizzazioni con istanze Oracle PeopleSoft. Il brief non documenta se l'istanza Nottingham fosse ospitata on-premise o in cloud, né il nome specifico del terzo mantenitore.
La catena di approvvigionamento ERP come liability strutturale
L'Università di Nottingham delegava a un "third party that maintains the platform" la gestione del sistema PeopleSoft. Questa architettura di outsourcing, comune nel settore education, non attenua la liability del data controller di fronte al ICO. L'ateneo resta legalmente accountable per la protezione dei dati studenteschi.
Il caso evidenzia una tensione sistemica: le università globali accumulano decenni di record studenteschi in piattaforme ERP centralizzate. Quando la compromissione supera di dieci volti la popolazione attuale, la durata dei dati conservati diventa essa stessa moltiplicatore di impatto.
Perche e importante
La violazione di Nottingham riunisce tre elementi di rilievo per il settore education e enterprise. Primo, la scala: circa 454.600 individui superano di quasi dieci volti gli studenti attuali, dimostrando che i sistemi ERP universitari conservano cohorti storiche estese e che la loro compromissione ha effetto moltiplicato.
Secondo, la struttura fontistica di questo articolo si basa su due fonti primarie editoriali indipendenti: BleepingComputer, che ha ottenuto dichiarazioni dirette dall'università e dal gruppo criminale, e BBC, che ha riportato la comunicazione interna di Jason Carter. Have I Been Pwned fornisce conferma quantitativa come fonte specializzata. Le informazioni non sono state verificate su fonti multiple indipendenti oltre questa struttura.
Terzo, la mancata risposta di Oracle a una singola richiesta di BleepingComputer non costituisce un pattern di silenzio prolungato, ma lascia un vuoto informativo che altre istituzioni con istanze PeopleSoft non possono colmare con dati ufficiali. L'analisi del rischio per queste organizzazioni resta condizionata dalla mancanza di advisory tecnico verificato.
La "precautionary assumption" adottata dall'università espande la perimetrazione della notifica oltre i soli dati verificabilmente esfiltrati. Questo approccio, prudente per la protezione degli interessati, aumenta il carico comunicativo e potenzialmente il danno reputazionale, ma riduce il rischio di sottostima regolatoria. Il brief non supporta l'interpretazione che questa scelta sia una strategia legale difensiva: documenta solo l'adozione di un criterio precauzionale nella comunicazione agli studenti.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/nottingham-university-data-breach-affects-over-450-000-students/
- https://www.bbc.com/news/articles/ckg0lkp042zo
- https://haveibeenpwned.com/Breach/UniversityOfNottingham
- https://www.aol.com/articles/students-data-accessed-university-cyber-143713000.html
- https://www.bleepingcomputer.com/
- https://www.bleepingcomputer.com/tutorials/
- https://www.bleepingcomputer.com/download/
- https://deals.bleepingcomputer.com/
- https://www.bleepingcomputer.com/vpn/