19 yaşındaki bir üniversite öğrencisi, 60 milyon+ öğrenci ve 10 milyon öğretmenin verisini ortaya çıkararak, siber gasptan suçlu bulunarak suçlu bulunduktan sonra suçlamalarla karşı karşıya. ABD okullarının tarihindeki en büyük olarak adlandırılan bu ihlalin yansımaları hakkında bilgi edinin.
19 yaşındaki bir üniversite öğrencisi, Massachusetts, Sterling’den Matthew D. Lane, büyük bir eğitim yazılım sağlayıcısı olan Powerschool da dahil olmak üzere iki ABD şirketini içeren bir siber gasp davasında suçlu bulunmayı kabul etti.
ABD Adalet Bakanlığı (DOJ), 20 Mayıs’ta Varsumption Üniversitesi’nden bir öğrenci olan Lane’nin bilgisayar ağlarına hacklemek ve fidye ödemeleri talep etmekle suçlandığını duyurdu.
İddianameye (PDF) göre, siber gasp komplosu, yetkisiz bilgisayar erişimi ve ağırlaştırılmış kimlik hırsızlığı da dahil olmak üzere çeşitli suçlamalarla karşı karşıya.
Powerschool ihlali
DOJ’un resmi ifadesi eğitim yazılımı sağlayıcısını adlandırmasa da, Ekim 2024’te Bain Capital tarafından satın alınan ABD ve Kanada’daki okullarda yaygın olarak kullanılan bir platform olan Powerschool olduğu anlaşılıyor.
PowerSchool ilk olarak 28 Aralık 2024’te PowerSource Müşteri Destek Portalına yetkisiz erişim bildirdi. Bu ihlal, 60 milyondan fazla öğrenciye ve küresel 6.505 okul bölgesinden 10 milyon öğretmene ait verileri açıkladı. Ontario, Saskatchewan, Alberta, Newfoundland ve Labrador, vb.
Çalınan bilgiler, tam adlar, adresler, telefon numaraları, şifreler, ebeveyn detayları, sosyal güvenlik numaraları, tıbbi veriler ve hatta notlar dahil olmak üzere kapsamlıydı. Başlangıçta, Powerschool fidye ödemeyi doğrulamadı.
Ancak, Hackread.com’un yakın zamanda bildirdiği gibi, şirket, saldırganların doğrudan okul bölgeleriyle temasa geçerek ek para talep ettikten sonra Mayıs ayında ödemeye itiraf etti. PowerSchool, “Bu gelişmelerden içtenlikle pişmanız-müşterilerimizin kötü aktörler tarafından tehdit edildiği ve yeniden kurgulandığı bize acı veriyor.”
Geçmiş Suçlar
Powerschool’u hedeflemeden önce, Lane ve iddia edilen suç ortaklarının 2022’de bir ABD telekomünikasyon şirketi zorlamaya çalıştıklarını belirtmek gerekir. Müşteri verilerini çaldılar ve halka açık serbest bırakılmasını önlemek için 200.000 dolar istedi, ancak bu girişim başarısız oldu.
Bunu takiben grup dikkatlerini Powerschool’a çevirdi. 28 Aralık 2024’te Powerschool, ödeme yapılmadıysa çalınan verileri tanıtma tehdidi ile yaklaşık 2.85 milyon $ için Bitcoin fidye talebi aldı.
Powerschool’un fidye ödemesine rağmen (kesin miktar doğrulanmamıştır) Etkilenen okul bölgeleri hala daha fazla talep aldı ve Powerschool’un ödemelerini kamuoyuna açıklamasını istedi. Bu devam eden tehditler, bilgisayar korsanlarının doğrudan okulları ve öğretmenleri daha fazla ödeme için hedeflediğini gördü, Hackread o sırada bildirdi.
Sonuçlarla yüzleşmek
Lane, her bir siber gasp komplosu, siber gasp, korunan bilgisayarlara yetkisiz erişim ve ağırlaştırılmış kimlik hırsızlığı için bir sayımdan suçlu bulunmayı kabul etti. İki ila beş yıl arasında değişen potansiyel hapis cezaları, 250.000 dolara kadar para cezası ve denetimli tahliye de dahil olmak üzere hüküm giymesi durumunda önemli cezalarla karşı karşıya.
FBI’ın Boston Bölümü’nden sorumlu özel ajan oyunculuk yapan Kimberly Milka, FBI’ın siber suçluları sorumlu tutma taahhüdünü vurguladı: “Matthew Lane, zenginleşmenin bir yolunu bulduğunu düşündü, ancak bu 19 yaşındaki klavyesinin arkasında saklanmakla suçlanan duruyor.
Lane için bir savunma duruşması henüz planlanmadı ve kanıtlanmış suçlu olana kadar masum olarak kabul ediliyor.