Кибератака и утечка данных в американском гиганте образовательных технологий PowerSchool, обнаруженная 28 декабря, грозит раскрытием личных данных десятков миллионов школьников и учителей.
PowerSchool сообщила клиентам, что нарушение связано с компрометацией учетной записи субподрядчика. На этой неделе TechCrunch узнал об отдельном инциденте безопасности, в котором участвовал инженер-программист PowerSchool, чей компьютер был заражен вредоносным ПО, которое украло учетные данные его компании до кибератаки.
Маловероятно, что субподрядчик, упомянутый PowerSchool, и инженер, указанный TechCrunch, — одно и то же лицо. Кража учетных данных инженера вызывает дополнительные сомнения в методах обеспечения безопасности в PowerSchool, которую в прошлом году приобрел гигант прямых инвестиций Bain Capital в рамках сделки на сумму 5,6 миллиарда долларов.
PowerSchool публично поделилась лишь некоторыми подробностями своей кибератаки, поскольку пострадавшие школьные округа начали уведомлять своих учеников и учителей об утечке данных. На веб-сайте компании говорится, что ее программное обеспечение для школьных записей используется в 18 000 школах для поддержки более 60 миллионов учащихся по всей Северной Америке.
В сообщении, переданном своим клиентам на прошлой неделе и просмотренном TechCrunch, PowerSchool подтвердила, что неназванные хакеры украли «конфиденциальную личную информацию» учащихся и учителей, включая номера социального страхования некоторых учащихся, оценки, демографические данные и медицинскую информацию. PowerSchool еще не сообщила, сколько клиентов пострадало от кибератаки, но несколько школьных округов, пострадавших от взлома, сообщили TechCrunch, что их журналы показывают, что хакеры украли «все» исторические данные об их учениках и учителях.
Один человек, работающий в пострадавшем школьном округе, сообщил TechCrunch, что у него есть доказательства того, что в результате взлома была похищена очень конфиденциальная информация об учащихся. Этот человек привел примеры, например, информацию о правах родителей на доступ к своим детям, включая запретительные судебные приказы, а также информацию о том, когда определенным учащимся необходимо принимать лекарства. Другие люди в пострадавших школьных округах рассказали TechCrunch, что украденные данные будут зависеть от того, что каждая отдельная школа добавила в свои системы PowerSchool.
По данным источников TechCrunch, PowerSchool сообщила своим клиентам, что хакеры взломали системы компании, используя одну скомпрометированную учетную запись обслуживания, связанную с субподрядчиком технической поддержки PowerSchool. На странице инцидента, которая была запущена на этой неделе, PowerSchool сообщила, что обнаружила несанкционированный доступ к одному из своих порталов поддержки клиентов.
Представитель PowerSchool Бет Киблер подтвердила TechCrunch в пятницу, что учетная запись субподрядчика, использованная для взлома портала поддержки клиентов, не была защищена многофакторной аутентификацией, широко используемой функцией безопасности, которая может помочь защитить учетные записи от взлома, связанного с кражей паролей. PowerSchool сообщила, что с тех пор MFA был развернут.
PowerSchool работает с фирмой по реагированию на инциденты CrowdStrike над расследованием нарушения, и ожидается, что отчет будет опубликован уже в пятницу. Получив письмо по электронной почте, CrowdStrike отложила комментарий для PowerSchool.
Киблер сообщил TechCrunch, что компания «не может проверить точность» наших отчетов. «Первоначальный анализ и результаты CrowdStrike не выявили никаких доказательств доступа на системном уровне, связанного с этим инцидентом, а также каких-либо вредоносных программ, вирусов или бэкдоров», — сказал Киблер TechCrunch. PowerSchool не сообщила, получила ли она отчет от CrowdStrike, и не сообщила, планирует ли она публично обнародовать свои выводы.
PowerSchool заявила, что проверка украденных данных продолжается, но не предоставила оценку количества учащихся и учителей, чьи данные были затронуты.
Пароли PowerSchool украдены вредоносным ПО
По словам источника, знакомого с действиями киберпреступников, журналы, полученные с компьютера инженера, работающего в PowerSchool, показывают, что его устройство было взломано с помощью распространенного вредоносного ПО LummaC2, похищающего информацию, перед кибератакой.
Неясно, когда именно было установлено вредоносное ПО. Источник сообщил, что пароли были украдены с компьютера инженера в январе 2024 года или ранее.
Информационные кражи становятся все более эффективным путем для хакеров, проникающих в компании, особенно с развитием удаленной и гибридной работы, которая часто позволяет сотрудникам использовать свои личные устройства для доступа к рабочим учетным записям. Как объясняет Wired, это создает возможности для кражи информации и установки вредоносного ПО на чей-то домашний компьютер, но при этом все равно остаются учетные данные, позволяющие получить корпоративный доступ, поскольку сотрудник также вошел в свою рабочую систему.
Кэш журналов LummaC2, видимый TechCrunch, включает пароли инженера, историю посещений двух веб-браузеров и файл, содержащий идентифицирующую и техническую информацию о компьютере инженера.
Некоторые из украденных учетных данных, судя по всему, связаны с внутренними системами PowerSchool.
Журналы показывают, что вредоносное ПО извлекло сохраненные пароли и историю просмотров инженеров из их браузеров Google Chrome и Microsoft Edge. Затем вредоносная программа загрузила кэш журналов, включая украденные учетные данные инженера, на серверы, контролируемые оператором вредоносной программы. Оттуда учетные данные были переданы более широкому онлайн-сообществу, включая закрытые группы Telegram, ориентированные на киберпреступность, где пароли и учетные данные корпоративных учетных записей продаются и обмениваются киберпреступниками.
Журналы вредоносных программ содержат пароли инженеров для репозиториев исходного кода PowerSchool, платформы обмена сообщениями Slack, экземпляра Jira для отслеживания ошибок и проблем, а также других внутренних систем. История посещений инженера также показывает, что у него был широкий доступ к учетной записи PowerSchool в Amazon Web Services, включая полный доступ к облачным серверам хранения S3, размещенным на AWS.
Мы не называем имя инженера, поскольку нет никаких доказательств того, что он сделал что-то не так. Как мы уже отмечали ранее о нарушениях в аналогичных обстоятельствах, в конечном итоге компании несут ответственность за реализацию мер защиты и соблюдение политик безопасности, которые предотвращают вторжения, вызванные кражей учетных данных сотрудников.
Отвечая на вопрос TechCrunch, Киблер из PowerSchool сказал, что человек, чьи скомпрометированные учетные данные были использованы для взлома систем PowerSchool, не имел доступа к AWS, и что внутренние системы PowerSchool, включая Slack и AWS, защищены с помощью MFA.
Компьютер инженера также хранил несколько наборов учетных данных, принадлежащих другим сотрудникам PowerSchool, которые, как выяснил TechCrunch, были. Судя по всему, учетные данные обеспечивают аналогичный доступ к Slack компании, репозиториям исходного кода и другим внутренним системам компании.
Из десятков учетных данных PowerSchool, которые мы видели в журналах, многие были короткими и простыми по сложности, а некоторые состояли всего из нескольких букв и цифр. Согласно обновленному списку украденных паролей Have I Been Pwned, несколько паролей учетных записей, используемых PowerSchool, совпадали с учетными данными, которые уже были скомпрометированы в результате предыдущих утечек данных.
TechCrunch не проверял украденные имена пользователей и пароли ни в одной системе PowerSchool, поскольку это было бы незаконно. Таким образом, невозможно определить, активно ли используются какие-либо учетные данные или были ли они защищены с помощью MFA.
PowerSchool заявила, что не может комментировать пароли, не видя их. (TechCrunch скрыл учетные данные, чтобы защитить личность взломанного инженера.) Об этом заявила компания. имеет «надежные протоколы для обеспечения безопасности паролей, включая требования к минимальной длине и сложности, а пароли чередуются в соответствии с рекомендациями NIST». Компания заявила, что после взлома PowerSchool «провела полный сброс пароля и еще больше ужесточила пароль и контроль доступа для всех учетных записей портала поддержки клиентов PowerSource», имея в виду взломанный портал поддержки клиентов.
PowerSchool заявила, что использует технологию единого входа и MFA как для сотрудников, так и для подрядчиков. Компания заявила, что подрядчикам предоставляются ноутбуки или доступ к среде ее виртуальных рабочих столов с элементами управления безопасностью, такими как защита от вредоносных программ и VPN для подключения к системам компании.
Остаются вопросы относительно утечки данных PowerSchool и ее последующей обработки инцидента, поскольку пострадавшие школьные округа продолжают оценивать, у скольких из их нынешних и бывших учеников и сотрудников были украдены личные данные в результате взлома.
Сотрудники школьных округов, пострадавших от взлома PowerSchool, сообщили TechCrunch, что они полагаются на краудсорсинговые усилия других школьных округов и клиентов, чтобы помочь администраторам искать в своих файлах журналов PowerSchool доказательства кражи данных.
На момент публикации документация PowerSchool о взломе была недоступна без входа клиента на веб-сайт компании.
Карли Пейдж предоставила репортаж.
Безопасно свяжитесь с Заком Уиттакером через Signal и WhatsApp по телефону +1 646-755-8849, а с Карли Пейдж можно безопасно связаться через Signal по телефону +44 1536 853968. Вы также можете безопасно обмениваться документами с TechCrunch через SecureDrop.
