Vysokoškolský student účtoval v souvislosti s porušením dat Powerschool

Ponor krátký:

• Student Massachusetts College souhlasil, že v úterý přistoupí v úterý za údajné hackování a vydírání nejmenované společnosti Ed Tech v bitcoinu v prosinci 2024, podle toho, podle Americká advokátní kancelář pro okres Massachusetts. Osoba s přímým znalostí potvrdila K-12 ponořeno, že poskytovatel softwaru pro informační systém studentů je dotyčným společností.
• 19letý student, Matthew Lane, je obviněn z získání neoprávněného přístupu do sítě poskytovatele softwaru založeného na cloudu v září 2024 pomocí pověření zaměstnance. Měsíce po získání dat studentů a učitelů Powerschool si Lane pronajala počítačový server od poskytovatele cloudu na Ukrajině, kde poté přenesl ukradená data.
• Lane, student Assumpy University ve Worcesteru, Massachusetts, mohl čelit až 17 letům vězení a pokutě až do 250 000 $ nebo „dvojnásobné hrubé zisk nebo ztráty“, podle toho, co je vyšší. Lane je obviněn z spiknutí o kybernetickém vydírání, kybernetického vydírání, neoprávněného přístupu k chráněným počítačům a přitěžující krádeží identity.

Ponor vhled:

Zatčení údajného herce hrozby je vzácným krokem, pokud jde o identifikaci a držení pachatelů odpovědných za útoky na ransomware proti Stále zranitelnější sektor vzdělávání.

„Kybernetická vydírání je vážným útokem na naši ekonomiku a na nás všechny. Jak tvrdil, tento obžalovaný ukradl soukromé informace o milionech dětí a učitelů, uložil na své oběti značné finanční náklady a vštěpoval strach rodičům, že informace jejich dětí byly do rukou zločinců uvedou do rukou zločinců – to vše vložil do svého hackerového pásu,“ uvedl americký právní pás, „uvedl americký právní pás,“ uvedl v úterním prohlášení. „Údajné výkupné, že tento obžalovaný a další jako on požadují, aby společnosti oběti a jejich nevinné zákazníky, jejichž údaje byly svěřeny, jsou svěřeny.“

Přesto není jasné, co se stane s únikovými citlivými údaji více než 60 milionů studentů a 10 milionů učitelů. Porušení vyústilo v více než 100 okresů Suging Powerschool a několik okresů Kontaktován s vydírajícími hrozbami. Soudní dokumenty rovněž naznačují, že Powerschool nevěděl o porušení údajů po dobu více než 100 dnů, dokud Lane vydírala společnost 28. prosince 2024, kdy Powerschool uvedl, že se o incidentu poprvé dozvěděl.

Foley také napsal soudu, který podával, že Lane měla přístup ke studentským a učitelským údajům společnosti včetně jmen, e -mailových adres, telefonních čísel, čísel sociálního zabezpečení, dat narození, lékařských informací, rezidenčních adres, informací o rodiči a opatrovníku. Lane údajně řekl společnosti, že pokud by nezaplatil výkupné téměř 2,85 milionu dolarů, „unikl“ ukradené informace „po celém světě“.

Americká advokátní kancelář v Massachusetts radí studentům a učitelům, kteří mají podezření, že jejich informace byly ohroženy, aby se obrátili na místní školní čtvrť.

Účetní dokumenty obecně potvrzují, co již bylo známo o porušení dat Powerschool, ale stále vypráví „docela úžasný příběh“, řekl Michael Klein, bývalý vrchní poradce pro kybernetickou bezpečnost na americkém ministerstvu školství a nyní vedoucí ředitel pro připravenost a reakci na Institutu pro bezpečnost a technologii.

„Powerschool měl mít 106 dní od doby, kdy hacker poprvé přistoupil k údajům o 1 školním obvodu v září 2024, až na konci prosince ukradl 1000 let okresů, ale nezjistil a proto incident nezastavil,“ napsal Klein ve svém prohlášení K-12 Dive. To je „důležité, protože státy a školní obvody musí svěřit prodejcům, jako je Powerschool svými údaji, která žije na platformě dodavatele, doslova nic nemohlo udělat, aby se zabránilo porušení údajů.“

Začátkem tohoto měsíce společnost Powerschool potvrdila, že v důsledku loňského porušení dat zaplatila výkupné ohrožení herců, ale společnost tuto částku nezveřejnila. FBI doporučuje, aby oběti útoků ransomwaru neplatily aktéry hrozby, protože je často může povzbudit, aby spáchali další počítačové zločiny, a neexistuje žádná záruka, že se ukradená údaje vrátí nebo odstraní.

Lane je také obviněn z hackování a vydírání telekomunikační společnosti za 200 000 dolarů mezi dubnem do 2024, několik měsíců před údajným neautorizovaným přístupem do systému Powerschool.

Obvinění proti dohodě a žalobní dohodě s Lane přicházejí v době, kdy většina okresů uvádí, že v určité formě čelí incidentu kybernetické bezpečnosti. Ve skutečnosti 82% škol K-12 Podle neziskového centra pro internetovou zabezpečení bylo hlášeno kybernetické incident mezi červencem 2023 a prosincem 2024. Mezi nejčastější z těchto hrozeb patří útoky ransomwaru, phishing, sociální inženýrství a porušení dat.

Vyžaduje sektor vzdělání v průměru 4,8 měsíce na hlášení Útok ransomwaru, podle nedávné analýzy srovnávání. Vzdělávací společnosti – oddělené od škol, vysokých škol a univerzit – měly v průměru 6,3 měsíce ještě vyšší časy narušení údajů.