Ο κολοσσός του εκπαιδευτικού λογισμικού PowerSchool επιβεβαίωσε ότι υπέστη ένα περιστατικό ασφάλειας στον κυβερνοχώρο που επέτρεψε σε έναν παράγοντα απειλής να κλέψει τα προσωπικά στοιχεία μαθητών και δασκάλων από σχολικές περιοχές χρησιμοποιώντας την πλατφόρμα PowerSchool SIS του.
Το PowerSchool είναι ένας πάροχος λύσεων λογισμικού που βασίζεται σε cloud για σχολεία και περιφέρειες K-12 που υποστηρίζει πάνω από 60 εκατομμύρια μαθητές και περισσότερους από 18.000 πελάτες παγκοσμίως. Η εταιρεία προσφέρει ένα πλήρες φάσμα υπηρεσιών για να βοηθήσει τις σχολικές περιφέρειες να λειτουργούν, συμπεριλαμβανομένων πλατφορμών εγγραφής, επικοινωνίας, παρακολούθησης, διαχείρισης προσωπικού, συστημάτων μάθησης, αναλυτικών στοιχείων και οικονομικών.
Ενώ τα προϊόντα της εταιρείας είναι κυρίως γνωστά από τις σχολικές περιφέρειες και το προσωπικό τους, το PowerSchool λειτουργεί επίσης το Naviance, μια πλατφόρμα που χρησιμοποιείται από πολλές περιφέρειες K-12 στις ΗΠΑ για να προσφέρει εξατομικευμένα εργαλεία προγραμματισμού κολεγίου, καριέρας και ετοιμότητας ζωής στους μαθητές.
Στοχεύονται σε επιθέσεις κλοπής δεδομένων
Σε μια ειδοποίηση περιστατικού κυβερνοασφάλειας που στάλθηκε στους πελάτες το απόγευμα της Τρίτης και ελήφθη από το BleepingComputer, το PowerSchool λέει ότι ενημερώθηκαν για πρώτη φορά για την παραβίαση στις 28 Δεκεμβρίου 2024, μετά την κλοπή πληροφοριών πελατών του PowerSchool SIS μέσω της πλατφόρμας υποστήριξης πελατών PowerSource.
Το PowerSchool SIS είναι ένα σύστημα πληροφοριών μαθητών (SIS) που χρησιμοποιείται για τη διαχείριση των αρχείων, των βαθμών, της παρουσίας, της εγγραφής και άλλων μαθητών.
“Ως κύριο σημείο επαφής για τη σχολική σας περιφέρεια, επικοινωνούμε για να σας ενημερώσουμε ότι στις 28 Δεκεμβρίου 2024 το PowerSchool ενημερώθηκε για ένα πιθανό περιστατικό ασφάλειας στον κυβερνοχώρο που αφορούσε μη εξουσιοδοτημένη πρόσβαση σε ορισμένες πληροφορίες μέσω μιας από τις πύλες υποστήριξης πελατών που εστιάζονται στην κοινότητα , PowerSource», αναφέρεται σε μια ειδοποίηση που κοινοποιήθηκε στο BleepingComputer.
Μετά τη διερεύνηση του συμβάντος, διαπιστώθηκε ότι ο παράγοντας της απειλής απέκτησε πρόσβαση στην πύλη χρησιμοποιώντας παραβιασμένα διαπιστευτήρια και έκλεψε δεδομένα χρησιμοποιώντας ένα εργαλείο υποστήριξης πελατών “διαχειριστής δεδομένων εξαγωγής”.
“Το μη εξουσιοδοτημένο μέρος μπόρεσε να χρησιμοποιήσει ένα παραβιασμένο διαπιστευτήριο για να αποκτήσει πρόσβαση σε μια από τις πύλες υποστήριξης πελατών που εστιάζονται στην κοινότητα που ονομάζεται PowerSource”, είπε το PowerSchool σε μια δήλωση στο BleepingComputer.
“Το PowerSource περιέχει ένα εργαλείο πρόσβασης συντήρησης που επιτρέπει στους μηχανικούς του PowerSchool να έχουν πρόσβαση σε παρουσίες του Customer SIS για συνεχή υποστήριξη και να αντιμετωπίζουν προβλήματα απόδοσης.”
Χρησιμοποιώντας αυτό το εργαλείο, ο εισβολέας εξήγαγε τους πίνακες βάσης δεδομένων PowerSchool SIS «Students» και «Teachers» σε ένα αρχείο CSV, το οποίο στη συνέχεια κλάπηκε.
Το PowerSchool επιβεβαίωσε ότι τα κλεμμένα δεδομένα περιέχουν κυρίως στοιχεία επικοινωνίας, όπως ονόματα και διευθύνσεις. Ωστόσο, για ορισμένες περιοχές, θα μπορούσε επίσης να περιλαμβάνει αριθμούς κοινωνικής ασφάλισης (SSN), προσωπικά στοιχεία ταυτοποίησης (PII), ιατρικές πληροφορίες και βαθμούς.
Ένας εκπρόσωπος του PowerSchool είπε στο BleepingComputer ότι τα εισιτήρια πελατών, τα διαπιστευτήρια πελατών ή τα δεδομένα του φόρουμ δεν εκτέθηκαν ή διείσδυσαν κατά την παραβίαση.
Η εταιρεία τόνισε επίσης ότι δεν επηρεάστηκαν όλοι οι πελάτες του PowerSchool SIS και ότι αναμένουν ότι μόνο ένα υποσύνολο πελατών θα πρέπει να εκδώσει ειδοποιήσεις.
Ως απάντηση στο συμβάν, η εταιρεία συνεργάστηκε με τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας, συμπεριλαμβανομένου του CrowdStrike, για τη διερεύνηση και τον μετριασμό του συμβάντος.
Αυτό περιλαμβάνει την εναλλαγή των κωδικών πρόσβασης για όλους τους λογαριασμούς της πύλης υποστήριξης πελατών του PowerSource και την εφαρμογή αυστηρότερων πολιτικών κωδικών πρόσβασης.
Σε ένα ασυνήθιστα διαφανές FAQ που είναι προσβάσιμο μόνο στους πελάτες, το PowerSchool επιβεβαίωσε επίσης ότι δεν επρόκειτο για επίθεση ransomware, αλλά ότι πλήρωσαν λύτρα για να αποτρέψουν τη δημοσιοποίηση των δεδομένων.
«Το PowerSchool προσέλαβε τις υπηρεσίες του CyberSteward, ενός επαγγελματία συμβούλου με βαθιά εμπειρία στη διαπραγμάτευση με παράγοντες απειλών», αναφέρεται σε ένα FAQ που είδε το BleepingComputer.
“Με την καθοδήγησή τους, το PowerSchool έχει λάβει εύλογες διαβεβαιώσεις από τον παράγοντα απειλών ότι τα δεδομένα έχουν διαγραφεί και ότι δεν υπάρχουν πρόσθετα αντίγραφα.”
Όταν ρωτήθηκε πόσο πληρώθηκε στους παράγοντες της απειλής, η BleepingComputer είπε, «Δεδομένης της ευαίσθητης φύσης της έρευνάς μας, δεν είμαστε σε θέση να παράσχουμε πληροφορίες για ορισμένες λεπτομέρειες».
Ενώ η εταιρεία είπε ότι έλαβε ένα βίντεο που δείχνει ότι τα δεδομένα διαγράφηκαν, όπως συμβαίνει με όλες τις επιθέσεις εκβιασμού δεδομένων, δεν υπάρχει ποτέ εκατό τοις εκατό εγγύηση ότι έγινε.
Η εταιρεία παρακολουθεί τώρα συνεχώς τον σκοτεινό ιστό για να προσδιορίσει εάν τα δεδομένα έχουν διαρρεύσει ή θα διαρρεύσει στο μέλλον.
Για όσους επηρεάζονται, το PowerSchool προσφέρει υπηρεσίες παρακολούθησης πίστωσης σε επηρεαζόμενους ενήλικες και υπηρεσίες προστασίας ταυτότητας για ανηλίκους που έχουν επηρεαστεί.
Το PowerSchool λέει ότι οι λειτουργίες του παραμένουν ανεπηρέαστες και οι υπηρεσίες συνεχίζονται ως συνήθως παρά την παραβίαση.
Η εταιρεία ειδοποιεί τώρα τις επηρεαζόμενες σχολικές περιφέρειες και θα παρέχει ένα πακέτο επικοινωνίας που περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου επικοινωνίας, σημεία ομιλίας και συχνές ερωτήσεις για να βοηθήσει στην ενημέρωση των δασκάλων και των οικογενειών σχετικά με το περιστατικό.
Προσδιορισμός εάν επηρεάζεστε
Σε ένα Reddit νήμα σχετικά με το συμβάν, το προσωπικό πληροφορικής της σχολικής περιφέρειας είπε ότι οι πελάτες μπορούν να εντοπίσουν εάν έχουν κλαπεί δεδομένα ελέγχοντας εάν ένας χρήστης συντήρησης με το όνομα “200A0” αναφέρεται στα αρχεία ps-log-audit.
“Μπορείτε να συσχετίσετε την πρόσβαση στο αρχείο καταγραφής ελέγχου με τις εξαγωγές μαζικών δεδομένων κατά χρόνο στα αρχεία καταγραφής μαζικών δεδομένων.” συμβούλεψε έναν πελάτη του PowerSchool SIS.
Ένας άλλος πελάτης μοιράστηκε ότι τα αρχεία καταγραφής του έδειχναν τους πίνακες Students and Teachers να εξάγονται στις 22 Δεκεμβρίου 2024.
“Ωραία, έχω αρχεία καταγραφής από τις 22/12 για Students_export.csv και Teachers_export.csv από μια ουκρανική διεύθυνση IP.” δήλωσε άλλος πελάτης.
Η BleepingComputer έμαθε ότι η εταιρεία θα παρέχει επίσης λεπτομερείς οδηγούς στους πελάτες για να ελέγξουν εάν επηρεάστηκαν και να καθορίσουν τι έγινε λήψη.
Η έρευνα βρίσκεται σε εξέλιξη, με την εταιρεία κυβερνοασφάλειας CrowdStrike να αναμένεται να δημοσιεύσει μια οριστική έκθεση έως τις 17 Ιανουαρίου 2025.
Το PowerSchool λέει ότι έχει δεσμευτεί στη διαφάνεια και θα μοιραστεί την αναφορά με τις πληγείσες σχολικές περιοχές όταν είναι έτοιμη.
Ενημέρωση 1/7/25: Διορθώθηκε το τυπογραφικό λάθος που υποδείκνυε εσφαλμένα τα διαπιστευτήρια πελατών, τα εισιτήρια και η βάση δεδομένων του φόρουμ είχαν διεξαχθεί.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
