Nevada’daki Clark County Okul Bölgesi (CCSD), bilgisayar korsanlarının yakın tarihli bir siber saldırı sırasında çalındığı iddia edilen çocuklarının verilerini ebeveynlere e-postayla göndermesi nedeniyle potansiyel olarak büyük bir veri ihlaliyle karşı karşıya.
CCSD, 300.000’den fazla öğrencisi ve 15.000 öğretmeniyle ABD’nin beşinci büyük okul bölgesidir.
16 Ekim’de CCSD, bu ayın başlarında bir siber saldırıya uğradığını doğruladı ve tehdit aktörlerinin bölgenin e-posta sunucularına erişim sağladığını belirtti.
Clark County Okul Bölgesi’nden yapılan bir açıklamada, “Yaklaşık 5 Ekim 2023’te Clark County Okul Bölgesi (“CCSD”), e-posta ortamını etkileyen bir siber güvenlik olayının farkına vardı.”
“Olayın ortaya çıkması üzerine CCSD, olayı araştırmak ve CCSD’nin güvenli ve iyileştirilmiş bir e-posta ortamında çalışmasını sağlamak için derhal adli tıp uzmanlarından oluşan bir ekip görevlendirdi. CCSD ayrıca kolluk kuvvetlerinin soruşturmasıyla da işbirliği yapıyor.”
“Şu ana kadar yapılan soruşturma, yetkisiz tarafın öğrenci, veli ve çalışanlardan oluşan bir alt grupla ilgili sınırlı kişisel bilgilere eriştiğini ortaya çıkardı. CCSD, bilgileri bu olaydan etkilenen tüm bireyleri belirlemek için özenle çalışıyor.”
Saldırıya yanıt olarak CCSD, Google Workspace’e harici hesaplardan erişimi devre dışı bıraktı ve tüm öğrencilerin şifrelerini zorunlu olarak sıfırlamayı zorunlu kıldı.
O zamandan bu yana işler daha da kötüye gitti; ebeveynler, tehdit aktörlerinden çocuklarının verilerinin sızdırıldığına dair uyarıda bulunan e-postalar aldıklarını bildirdi.
Las Vegas Review Journal tarafından görülen “CCSD Sızıntısı” başlıklı bir e-postada “Bunu söylediğim için çok üzgünüm ama ne yazık ki özel bilgileriniz sızdırıldı. Mümkünse muhtemelen CCSD sistemlerindeki bilgilerinizi değiştirmelisiniz” yazıyor.
“Buna benzer 200.000’den fazla öğrenci profili bilgisayar korsanları tarafından sızdırıldı. Dikkatli olun. Messenger’ı vurmayın!”
KSNV News 3 Las Vegas’ın raporuna göre bu e-postalar, öğrenci fotoğrafları, adresleri, öğrenci kimlik numaraları ve e-posta adresleri de dahil olmak üzere öğrencilerin çalınan verilerini içeren PDF dosyalarını içeriyor.
Hem öğrenciler hem de veliler, tehdit aktörünün verilere sahip olmasından ve bu verileri kimlik hırsızlığı veya başka kimlik avı saldırıları gibi başka kötü amaçlarla kullanma potansiyelinden korkuyor ve üzülüyor.
BleepingComputer Cuma günü CCSD ile temasa geçti ancak Nevada Günü tatili nedeniyle kapalı oldukları için bir yanıt alamadı.
SingularityMD bilgisayar korsanları saldırıyı üstlendi
DataBreaches.net tarafından hazırlanan ayrıntılı bir rapora göre, Clark County Okul Bölgesi ihlalinin arkasındaki bilgisayar korsanları kendilerine ‘SingularityMD’ adını veriyor ve 200.000 CCSD öğrencisine ait olduğunu iddia ettikleri verileri şimdiden sızdırmaya başladılar.
Tehdit aktörleri, çalındığı iddia edilen verilere ilişkin URL’leri içeren bir “bildirime” bağlantı da dahil olmak üzere, saldırıyla ilgili bilgileri paylaşmak için DataBreaches.net ile temasa geçti.
Bilgisayar korsanlarının bir notunda, “Biz SingularityMD (hack ekibi) konuya açıklık getirmek için bir açıklama yapmak istiyoruz. CCSD bir güvenlik sorunu tespit etmedi, onlara birkaç aydır ağlarında olduğumuzu bildirmek için onlara e-posta gönderdik” diyor. bir kod paylaşım sitesinde.
“6 yıl boyunca öğrencilere doğum günlerini şifre olarak kullanmaya zorladılar, şifreleri her yıl doğum tarihlerine sıfırladılar, hatta öğrencilerin hesaplarının güvenliğini bile engellediler.”
“Çalınan verilerin yok edilmesi karşılığında Jesus F Jara’nın yıllık maaşının üçte birinden daha azını istedik. CCSD’deki liderliğin duyarsızlığı ve beceriksizliği hayret verici; sadece işbirliği yapmamakla kalmadık, onlarla iletişim kurmadıkları da açık. müdürler ve sızdıran gemilerini hala kapatmadılar, bu da ağa hâlâ erişimimiz olduğu anlamına geliyor.”
Bu not, hackerların 200.000 öğrencinin kişisel verileri olduğunu iddia ettiği, karanlık web ve clearweb sitelerinde barındırılan sızdırılmış veri arşivlerine bağlantılar içermektedir.
Bu verilerin öğrencinin e-postalarını, doğum tarihlerini, etnik kökenini, PSAT puanlarını, sağlık bilgilerini, uzaklaştırmalarını, olay raporlarını ve diğer bilgileri içerdiği iddia ediliyor.
Tehdit aktörleri ayrıca bölgeden mali raporlar, personel maaşları ve hibe bilgilerini de sızdırdı.
DataBreaches.net sızdırılan verilerin bir kısmını inceledi ve bunların meşru göründüğünü söyledi ancak CCSD, verilerin kendilerine ait olup olmadığını doğrulamak için e-postalarına yanıt vermedi.
Ancak sızdırılan verilerin bir kısmını alan ebeveynler, bilgilerin çocuklarına ait olduğunu zaten doğrulayarak sızıntılara meşruiyet kazandırdı.
Şu anda, tehdit aktörleri CCSD’nin sistemlerine hâlâ erişime sahip olduklarını ve okul bölgesinin şantaj talebini ödememesi halinde sızdıracakları daha fazla veriye sahip olduklarını iddia ediyor.
Tehdit aktörünün gönderisi, “CCSD için son bir ipucu, siz ödeme yapana kadar veya sonunda bizi ağınızdan atıncaya kadar sorun yaratmaya devam edeceğiz” dedi.
BleepingComputer, saldırganın CCSD sistemlerine hâlâ erişime sahip olduğu yönündeki iddialarının doğru olup olmadığını doğrulayamadı.
Ayrıca SingularityMD’nin aynı isimdeki AI platformuyla ilişkili olmadığını da belirtelim.