KE Serangan siber dan kebocoran data pada raksasa teknologi pendidikan AS, PowerSchool yang ditemukan pada 28 Desember mengancam akan mengungkap data pribadi puluhan juta anak sekolah dan guru.
PowerSchool memberi tahu pelanggan bahwa pelanggaran tersebut terkait dengan penyusupan akun subkontraktor. TechCrunch mengetahui minggu ini tentang insiden keamanan terpisah yang melibatkan insinyur perangkat lunak PowerSchool, yang komputernya terinfeksi malware yang mencuri kredensial perusahaannya sebelum serangan siber.
Kecil kemungkinan subkontraktor yang disebutkan oleh PowerSchool dan insinyur yang diidentifikasi oleh TechCrunch adalah orang yang sama. Pencurian kredensial insinyur tersebut menimbulkan pertanyaan lebih lanjut tentang praktik keamanan di PowerSchool, yang diakuisisi oleh raksasa ekuitas swasta Bain Capital. dalam kesepakatan senilai $5,6 miliar tahun lalu.
PowerSchool secara terbuka hanya membagikan sedikit rincian tentang serangan sibernya, ketika distrik sekolah yang terkena dampak mulai memberi tahu siswa dan guru mereka tentang pelanggaran data tersebut. Situs web perusahaan tersebut menyatakan bahwa perangkat lunak catatan sekolahnya digunakan oleh 18.000 sekolah untuk mendukung lebih dari 60 juta siswa di seluruh Amerika Utara.
Di dalam komunikasi yang dibagikan dengan klien Anda minggu lalu dan dilihat oleh TechCrunch, PowerSchool mengonfirmasi bahwa peretas anonim mencuri “informasi pribadi sensitif” tentang siswa dan guru, termasuk nomor Jaminan Sosial, nilai, data demografi, dan informasi medis beberapa siswa. PowerSchool belum mengatakan berapa banyak pelanggan yang terkena dampak serangan siber, namun beberapa distrik sekolah yang terkena dampak pelanggaran tersebut mengatakan kepada TechCrunch bahwa catatan mereka menunjukkan Peretas mencuri “semua” data historis siswa dan guru mereka..
Seseorang yang bekerja di distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa mereka memiliki bukti bahwa informasi yang sangat sensitif tentang siswa telah bocor dalam pelanggaran tersebut. Orang tersebut memberikan contoh, seperti informasi tentang hak akses orang tua terhadap anaknya, termasuk perintah penahanan, dan informasi kapan siswa tertentu harus meminum obatnya. Orang lain di distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa data yang dicuri akan bergantung pada apa yang ditambahkan masing-masing sekolah ke sistem PowerSchool mereka.
Menurut sumber yang berbicara dengan TechCrunch, PowerSchool mengatakan kepada pelanggannya bahwa peretas membobol sistem perusahaan menggunakan satu akun pemeliharaan yang dikompromikan yang terkait dengan subkontraktor dukungan teknis PowerSchool. di dalam kamu halaman kejadian yang diluncurkan minggu ini, PowerSchool mengatakan pihaknya mengidentifikasi akses tidak sah di salah satu portal dukungan pelanggannya.
Juru bicara PowerSchool Beth Keebler mengonfirmasi kepada TechCrunch pada hari Jumat bahwa akun subkontraktor yang digunakan untuk membobol portal dukungan pelanggan tidak dilindungi dengan otentikasi multi-faktor, fitur keamanan yang banyak digunakan yang dapat membantu melindungi akun dari serangan terkait pencurian kata sandi. PowerSchool mengatakan MFA telah diterapkan.
PowerSchool bekerja sama dengan perusahaan tanggap insiden CrowdStrike untuk menyelidiki pelanggaran tersebut dan sebuah laporan diperkirakan akan dirilis pada hari Jumat. Saat dihubungi melalui email, CrowdStrike merujuk komentar ke PowerSchool.
Keebler mengatakan kepada TechCrunch bahwa perusahaan “tidak dapat memverifikasi keakuratan” laporan kami. “Analisis dan temuan awal CrowdStrike tidak menunjukkan bukti adanya akses lapisan sistem yang terkait dengan insiden ini, maupun malware, virus, atau pintu belakang apa pun,” kata Keebler kepada TechCrunch. PowerSchool tidak mengatakan apakah mereka telah menerima laporan CrowdStrike, atau apakah mereka berencana mempublikasikan temuannya.
PowerSchool mengatakan peninjauannya terhadap data yang dieksfiltrasi sedang berlangsung dan tidak memberikan perkiraan jumlah siswa dan guru yang datanya terpengaruh.
Kata sandi PowerSchool dicuri oleh malware
Menurut sumber yang mengetahui operasi penjahat dunia maya, catatan yang diperoleh dari komputer seorang insinyur yang bekerja untuk PowerSchool menunjukkan bahwa perangkatnya diretas oleh LummaC2 yang produktif. malware pencurian informasi sebelum serangan cyber.
Tidak jelas secara pasti kapan malware itu dipasang. Sumber tersebut mengatakan kata sandi tersebut dicuri dari komputer sang insinyur pada Januari 2024 atau lebih awal.
Pelanggaran data telah menjadi cara yang semakin efektif bagi peretas untuk membobol bisnis, terutama dengan maraknya sistem kerja jarak jauh dan hybrid, yang sering kali memungkinkan karyawan menggunakan perangkat pribadi mereka untuk mengakses akun kerja. Seperti yang dijelaskan WiredHal ini menciptakan peluang bagi malware pencuri data untuk menginstal dirinya sendiri di komputer pribadi seseorang, namun tetap menghasilkan kredensial yang dapat diakses oleh perusahaan karena karyawan tersebut juga masuk ke sistem kerja mereka.
Cache log LummaC2, yang dilihat oleh TechCrunch, berisi kata sandi insinyur, riwayat penelusuran dua browser webnya, dan file yang berisi informasi teknis dan dapat diidentifikasi tentang komputer insinyur.
Beberapa kredensial yang dicuri tampaknya terkait dengan sistem internal PowerSchool.
Catatan menunjukkan bahwa malware tersebut mengekstrak kata sandi dan riwayat penelusuran yang disimpan sang insinyur dari browser Google Chrome dan Microsoft Edge miliknya. Malware kemudian mengunggah cache log, termasuk kredensial yang dicuri sang insinyur, ke server yang dikendalikan oleh operator malware. Dari sana, kredensial tersebut dibagikan ke komunitas online yang lebih luas, termasuk grup Telegram tertutup yang berfokus pada kejahatan dunia maya, di mana kata sandi dan kredensial akun perusahaan dijual dan diperdagangkan antar penjahat dunia maya.
Log malware berisi kata sandi insinyur untuk repositori kode sumber PowerSchool, platform pesan Slack, instance Jira untuk pelacakan bug dan masalah, dan sistem internal lainnya. Riwayat penjelajahan insinyur tersebut juga menunjukkan bahwa dia memiliki akses luas ke akun PowerSchool di Amazon Web Services, termasuk akses penuh ke server penyimpanan cloud S3 yang dihosting AWS milik perusahaan.
Kami tidak akan menyebutkan nama insinyur tersebut karena tidak ada bukti bahwa dia melakukan kesalahan. Sebagai Kami telah mencatat sebelumnya tentang pelanggaran dalam kondisi serupa.Pada akhirnya, merupakan tanggung jawab perusahaan untuk menerapkan pertahanan dan menegakkan kebijakan keamanan yang mencegah intrusi yang disebabkan oleh pencurian kredensial karyawan.
Saat ditanya oleh TechCrunch, Keebler dari PowerSchool mengatakan bahwa orang yang kredensialnya disusupi digunakan untuk melanggar sistem PowerSchool tidak memiliki akses ke AWS dan sistem internal PowerSchool, termasuk Slack dan AWS, dilindungi dengan MFA.
Komputer insinyur juga menyimpan beberapa set kredensial milik karyawan PowerSchool lainnya, yang telah dilihat oleh TechCrunch. Kredensial tersebut tampaknya memungkinkan akses serupa ke Slack perusahaan, repositori kode sumber, dan sistem internal perusahaan lainnya.
Dari lusinan kredensial PowerSchool yang kami lihat di log, banyak yang singkat dan memiliki kompleksitas dasar, dan beberapa hanya terdiri dari beberapa huruf dan angka. Beberapa kata sandi akun yang digunakan oleh PowerSchool cocok dengan kredensial yang telah disusupi dalam pelanggaran data sebelumnya, menurut Have I Been Pwned. memperbarui daftar kata sandi yang dicuri.
TechCrunch tidak menguji nama pengguna dan kata sandi yang dicuri pada sistem PowerSchool mana pun, karena hal itu melanggar hukum. Oleh karena itu, tidak dapat ditentukan apakah kredensial tersebut masih digunakan secara aktif atau apakah ada yang dilindungi dengan MFA.
PowerSchool mengatakan tidak dapat mengomentari kata sandi tanpa melihatnya. (TechCrunch menyembunyikan kredensial untuk melindungi identitas insinyur yang diretas.) Perusahaan mengatakan itu memiliki “protokol yang kuat untuk keamanan kata sandi, termasuk persyaratan panjang minimum dan kompleksitas, dan kata sandi dirotasi sesuai dengan rekomendasi NIST.” Perusahaan mengatakan bahwa setelah pelanggaran tersebut, PowerSchool “melakukan pengaturan ulang kata sandi secara penuh dan selanjutnya memperkuat kata sandi dan kontrol akses untuk semua akun portal dukungan pelanggan PowerSource,” mengacu pada portal dukungan pelanggan yang diperkosa.
PowerSchool mengatakan mereka menggunakan teknologi sistem masuk tunggal dan MFA untuk karyawan dan kontraktor. Perusahaan mengatakan kontraktor menerima laptop atau akses ke lingkungan desktop virtual yang memiliki kontrol keamanan, seperti anti-malware dan VPN untuk terhubung ke sistem perusahaan.
Masih ada pertanyaan mengenai pelanggaran data PowerSchool dan penanganan selanjutnya atas insiden tersebut, karena distrik sekolah yang terkena dampak terus menilai berapa banyak siswa dan staf mereka saat ini dan mantan siswa serta staf yang mengalami pencurian data pribadi dalam pelanggaran tersebut.
Staf di distrik sekolah yang terkena dampak pelanggaran PowerSchool memberi tahu TechCrunch bahwa mereka mengandalkan upaya kolaboratif dari distrik sekolah lain dan pelanggan untuk membantu administrator mencari file log PowerSchool mereka untuk mencari bukti pencurian data.
Pada saat publikasi, dokumentasi PowerSchool mengenai pelanggaran tidak dapat diakses tanpa masuk sebagai pelanggan ke situs web perusahaan.
Carly Page menyumbangkan pelaporan.
Hubungi Zack Whittaker dengan aman di Signal dan WhatsApp di +1 646-755-8849, dan Anda dapat menghubungi Carly Page dengan aman di Signal di +44 1536 853968. Anda juga dapat berbagi dokumen dengan aman dengan TechCrunch melalui jatuh dengan aman.
