EINS Cyberangriff und Datenschutzverletzung beim US-amerikanischen Bildungstechnologieriesen PowerSchool die am 28. Dezember entdeckt wurde, droht die Offenlegung der privaten Daten von zig Millionen Schülern und Lehrern.
PowerSchool teilte den Kunden mit, dass der Verstoß mit der Kompromittierung des Kontos eines Subunternehmers zusammenhängt. TechCrunch erfuhr diese Woche von einem separaten Sicherheitsvorfall, an dem ein PowerSchool-Softwareentwickler beteiligt war, dessen Computer vor dem Cyberangriff mit Malware infiziert war, die seine Firmenanmeldedaten stahl.
Es ist unwahrscheinlich, dass der von PowerSchool genannte Subunternehmer und der von TechCrunch identifizierte Ingenieur dieselbe Person sind. Der Diebstahl der Qualifikationen des Ingenieurs wirft weitere Fragen zu den Sicherheitspraktiken von PowerSchool auf, das vom Private-Equity-Riesen Bain Capital übernommen wurde in einem 5,6-Milliarden-Dollar-Deal im letzten Jahr.
PowerSchool hat nur wenige Details zu seinem Cyberangriff öffentlich bekannt gegeben, da die betroffenen Schulbezirke damit beginnen, ihre Schüler und Lehrer über den Datenverstoß zu informieren. Auf der Website des Unternehmens heißt es, dass seine Schulaktensoftware von 18.000 Schulen genutzt wird, um mehr als 60 Millionen Schüler in Nordamerika zu unterstützen.
In eine Mitteilung, die Sie letzte Woche an Ihre Kunden weitergegeben haben Laut TechCrunch bestätigte PowerSchool, dass nicht identifizierte Hacker „sensible persönliche Informationen“ von Schülern und Lehrern gestohlen haben, darunter Sozialversicherungsnummern, Noten, demografische Daten und die medizinischen Daten einiger Schüler. PowerSchool hat noch nicht gesagt, wie viele Kunden von dem Cyberangriff betroffen waren, aber mehrere von dem Verstoß betroffene Schulbezirke teilten TechCrunch mit, dass ihre Aufzeichnungen dies belegen Hacker haben „alle“ historischen Daten von Schülern und Lehrern gestohlen.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, teilte TechCrunch mit, dass sie Beweise dafür habe, dass bei der Sicherheitsverletzung hochsensible Informationen über Schüler durchgesickert seien. Die Person nannte Beispiele wie Informationen zum Umgangsrecht der Eltern mit ihren Kindern, einschließlich einstweiliger Verfügungen, und Informationen darüber, wann bestimmte Schüler ihre Medikamente einnehmen müssen. Andere Personen in den betroffenen Schulbezirken teilten TechCrunch mit, dass die gestohlenen Daten davon abhängen, was jede Schule zu ihren PowerSchool-Systemen hinzugefügt hat.
Laut Quellen, die mit TechCrunch gesprochen haben, teilte PowerSchool seinen Kunden mit, dass Hacker über ein einziges kompromittiertes Wartungskonto, das einem Subunternehmer für den technischen Support von PowerSchool zugeordnet war, in die Systeme des Unternehmens eingebrochen seien. In deinem Vorfallseite PowerSchool wurde diese Woche gestartet und gab an, unbefugten Zugriff auf eines seiner Kundensupportportale festgestellt zu haben.
PowerSchool-Sprecherin Beth Keebler bestätigte am Freitag gegenüber TechCrunch, dass das Subunternehmerkonto, das für den Zugriff auf das Kundensupport-Portal verwendet wurde, nicht durch Multi-Faktor-Authentifizierung geschützt war, einer weit verbreiteten Sicherheitsfunktion, die dazu beitragen kann, Konten vor Hacks im Zusammenhang mit Passwortdiebstahl zu schützen. Laut PowerSchool wurde MFA bereits implementiert.
PowerSchool arbeitet mit dem Incident-Response-Unternehmen CrowdStrike zusammen, um den Verstoß zu untersuchen. Ein Bericht wird voraussichtlich bereits am Freitag veröffentlicht. Bei der Kontaktaufnahme per E-Mail verschob CrowdStrike den Kommentar an PowerSchool.
Keebler sagte gegenüber TechCrunch, dass das Unternehmen „die Richtigkeit“ unserer Berichte „nicht überprüfen kann“. „Die ersten Analysen und Ergebnisse von CrowdStrike zeigen keine Hinweise auf einen Systemebenenzugriff im Zusammenhang mit diesem Vorfall, noch auf Malware, Viren oder Hintertüren“, sagte Keebler gegenüber TechCrunch. PowerSchool hat nicht gesagt, ob es den CrowdStrike-Bericht erhalten hat oder ob es plant, seine Ergebnisse öffentlich zu veröffentlichen.
PowerSchool sagte, dass die Überprüfung der exfiltrierten Daten noch nicht abgeschlossen sei und keine Schätzung der Anzahl der Schüler und Lehrer vorgelegt habe, deren Daten betroffen seien.
PowerSchool-Passwörter durch Malware gestohlen
Laut einer Quelle mit Kenntnissen über Cyberkriminalitätsoperationen zeigen Aufzeichnungen vom Computer eines Ingenieurs, der für PowerSchool arbeitet, dass sein Gerät vom produktiven LummaC2 gehackt wurde. Malware, um Informationen zu stehlen vor dem Cyberangriff.
Es ist unklar, wann genau die Malware installiert wurde. Die Quelle sagte, die Passwörter seien im Januar 2024 oder früher vom Computer des Ingenieurs gestohlen worden.
Infostealer sind für Hacker zu einer immer effektiveren Möglichkeit geworden, in Unternehmen einzudringen, insbesondere mit der Zunahme von Remote- und Hybridarbeit, die es Mitarbeitern häufig ermöglicht, ihre persönlichen Geräte für den Zugriff auf Arbeitskonten zu verwenden. Wie Wired erklärtDadurch besteht die Möglichkeit, dass Schadsoftware, die Informationen stiehlt, auf dem Heimcomputer einer Person installiert wird, am Ende aber dennoch Anmeldeinformationen für den Unternehmenszugriff erhalten, da der Mitarbeiter auch bei seinen Arbeitssystemen angemeldet war.
Der von TechCrunch eingesehene Cache der LummaC2-Protokolle enthält die Passwörter des Ingenieurs, den Browserverlauf von zwei seiner Browser und eine Datei mit technischen und identifizierbaren Informationen über den Computer des Ingenieurs.
Einige der gestohlenen Anmeldeinformationen scheinen mit den internen Systemen von PowerSchool in Zusammenhang zu stehen.
Protokolle zeigen, dass die Malware die gespeicherten Passwörter und Browserverläufe des Ingenieurs aus den Browsern Google Chrome und Microsoft Edge extrahiert hat. Anschließend lud die Malware den Protokollcache, einschließlich der gestohlenen Anmeldeinformationen des Ingenieurs, auf Server hoch, die vom Malware-Betreiber kontrolliert werden. Von dort aus wurden die Zugangsdaten mit einer breiteren Online-Community geteilt, einschließlich geschlossener Telegram-Gruppen, die sich auf Cyberkriminalität konzentrieren und in denen Passwörter und Anmeldeinformationen für Firmenkonten verkauft und zwischen Cyberkriminellen gehandelt werden.
Die Malware-Protokolle enthalten die Passwörter des Ingenieurs für die Quellcode-Repositorys von PowerSchool, seine Messaging-Plattform Slack, seine Jira-Instanz zur Verfolgung von Fehlern und Problemen und andere interne Systeme. Aus dem Browserverlauf des Ingenieurs geht außerdem hervor, dass er umfassenden Zugriff auf das Amazon Web Services-Konto von PowerSchool hatte, einschließlich vollständigem Zugriff auf die von AWS gehosteten S3-Cloud-Speicherserver des Unternehmens.
Wir nennen den Namen des Ingenieurs nicht, da es keine Beweise dafür gibt, dass er etwas falsch gemacht hat. Als Wir haben bereits früher auf Verstöße unter ähnlichen Umständen hingewiesenLetztendlich liegt es in der Verantwortung der Unternehmen, Abwehrmaßnahmen zu implementieren und Sicherheitsrichtlinien durchzusetzen, die Eindringlinge durch den Diebstahl von Anmeldedaten von Mitarbeitern verhindern.
Auf eine Befragung durch TechCrunch sagte Keebler von PowerSchool, dass die Person, deren kompromittierte Zugangsdaten zum Angriff auf die Systeme von PowerSchool verwendet wurden, keinen Zugriff auf AWS hatte und dass die internen Systeme von PowerSchool – einschließlich Slack und AWS – mit MFA geschützt sind.
Der Computer des Ingenieurs speicherte auch mehrere Sätze von Anmeldeinformationen anderer PowerSchool-Mitarbeiter, die TechCrunch sah. Die Anmeldeinformationen scheinen einen ähnlichen Zugriff auf Slack, Quellcode-Repositorys und andere interne Unternehmenssysteme des Unternehmens zu ermöglichen.
Von den Dutzenden PowerSchool-Zeugnissen, die wir in den Aufzeichnungen sahen, waren viele kurz und einfach und komplex, einige bestanden nur aus wenigen Buchstaben und Zahlen. Laut Have I Been Pwned’s stimmten mehrere der von PowerSchool verwendeten Kontokennwörter mit Anmeldeinformationen überein, die bereits bei früheren Datenschutzverletzungen kompromittiert worden waren Aktualisierung der Liste gestohlener Passwörter.
TechCrunch hat die gestohlenen Benutzernamen und Passwörter auf keinem PowerSchool-System getestet, da dies illegal wäre. Daher ist es nicht möglich festzustellen, ob die Anmeldeinformationen noch aktiv verwendet werden oder ob sie mit MFA gesichert wurden.
PowerSchool sagte, es könne die Passwörter nicht kommentieren, ohne sie zu sehen. (TechCrunch hat die Anmeldeinformationen zurückgehalten, um die Identität des gehackten Ingenieurs zu schützen.) Das Unternehmen sagte dies verfügt über „robuste Protokolle für die Passwortsicherheit, einschließlich Mindestlängen- und Komplexitätsanforderungen, und Passwörter werden gemäß NIST-Empfehlungen rotiert.“ Das Unternehmen sagte, dass PowerSchool nach dem Verstoß „ein vollständiges Passwort-Reset durchgeführt und die Passwort- und Zugriffskontrolle für alle PowerSource-Kundensupport-Portalkonten weiter verstärkt“ habe, und bezog sich dabei auf das verletzte Kundensupport-Portal.
PowerSchool gab an, Single Sign-On und MFA-Technologie für Mitarbeiter und Auftragnehmer zu verwenden. Das Unternehmen sagte, dass Auftragnehmer Laptops oder Zugang zu seiner virtuellen Desktop-Umgebung erhalten, die über Sicherheitskontrollen wie Anti-Malware und VPN für die Verbindung mit Unternehmenssystemen verfügt.
Es bleiben Fragen zum Datenschutzverstoß bei PowerSchool und zur anschließenden Behandlung des Vorfalls, da die betroffenen Schulbezirke weiterhin prüfen, wie viele ihrer aktuellen und ehemaligen Schüler und Mitarbeiter bei dem Verstoß personenbezogene Daten gestohlen haben.
Beamte der von der PowerSchool-Verletzung betroffenen Schulbezirke teilen TechCrunch mit, dass sie sich auf Crowdsourcing-Bemühungen anderer Schulbezirke und Kunden verlassen, um Administratoren bei der Suche in ihren PowerSchool-Protokolldateien nach Beweisen für Datendiebstahl zu unterstützen.
Zum Zeitpunkt der Veröffentlichung kann auf die Dokumentation des Verstoßes von PowerSchool nicht zugegriffen werden, ohne dass sich der Kunde auf der Website des Unternehmens angemeldet hat.
Carly Page trug zur Berichterstattung bei.
Kontaktieren Sie Zack Whittaker sicher über Signal und WhatsApp unter +1 646-755-8849, und Carly Page ist sicher über Signal unter +44 1536 853968 erreichbar. Sie können Dokumente auch sicher mit TechCrunch teilen über SecureDrop.
