Bir LAUSD sözcüsü K-12 Dive’a, Los Angeles Birleşik Okul Bölgesi’nin kolluk kuvvetleriyle birlikte belirli bölge kayıtlarının çevrimiçi olarak satıldığı yönündeki bir iddiayı araştırdığını söyledi.
İddia, bir tehdit aktörünün bir siber suç forumu olan BreachForums’ta LAUSD’ye ait yaklaşık 24 milyon kaydı 1.000 dolara satmayı teklif eden paylaşımından kaynaklanıyor. Dark Web Informer’ın 6 Haziran’da sosyal medya platformu X’teki gönderisi, iddianın ekran görüntüsünü içeriyordu.
LAUSD sözcüsü e-postayla yaptığı açıklamada, “Los Angeles Unified, belirli bölge verilerini satışa sunduğunu iddia eden kötü niyetli bir aktörün hesabından haberdar oldu” dedi. “Her zaman olduğu gibi öğrencilerimizin, ailelerinin ve çalışanlarımızın mahremiyetini ön planda tutuyoruz.”
Güvenliği ihlal edilen bölge verilerine ilişkin en son iddialar henüz LAUSD tarafından doğrulanmadı. Bölge ayrıca, şu anda karanlık ağda satışa sunulduğu iddia edilen verilerin büyük bir veriyle bağlantılı olup olmadığı hakkındaki soruya da yanıt vermedi. İlçeye fidye yazılımı saldırısı bu ilk olarak Eylül 2022’de meydana geldi.
Tehdit istihbaratı firması Cyble’ın araştırma ve tehdit istihbaratından sorumlu başkan yardımcısı Kaustubh Medhe, dark web forum gönderisini daha yakından inceledi ve yaptığı açıklamada bu kayıtların kişisel olarak tanımlanabilir bilgiler içerdiğini söyledi. Buna öğrenci kimlikleri, isimler, doğum tarihleri, İngilizce yeterlilik durumu, özel eğitim durumu, ev adresleri, telefon numaraları ve ebeveynlerin adları dahildir.
Medhe, bilgilerin kimlik avı veya profil oluşturma saldırılarında kurbanları hedeflemek gibi gizlilik endişelerine yol açabileceğini söyledi. Ancak şunları ekledi: “Sadece 1.000 dolara satılıyor olması, şifreler gibi hesap düzeyinde hassas bilgilerin bulunmadığını gösteriyor, bu da onu dolandırıcılık açısından daha az değerli kılıyor ancak kimlik avı gibi ikincil saldırılar için yine de önemli.”
Fidye yazılımı grubu Yardımcısı Derneği daha sonra ülkenin ikinci büyük okul bölgesi olan LAUSD’ye Eylül 2022’de düzenlenen siber saldırının sorumluluğunu üstlendi. Aynı siber suçlu çetesi, ihlalin ilk rapor edilmesinden bir ay sonra bölgeden çalınan verilerini yayınlamakla tehdit etti.
Vice Society’nin önemi Mayıs 2023 itibarıyla azalırken Medhe, o zamandan beri Rhysida adında yeni bir fidye yazılımı grubunun ortaya çıktığını ve aynı zamanda Vice Society’ye oldukça benzediğini söyledi. İki grubun bağlantılı olmasının çok muhtemel olduğunu söyledi. Medhe’ye göre Rhysida, Haziran 2023’ten Aralık 2023’e kadar 24 eğitim kurumunu hedef aldı ve bugün de aktif olmaya devam ediyor.
Medhe, “Satanic’in, Vice Society grubu tarafından 2022’de yayınlanan eski verilerden para kazanmaya çalışıyor olma ihtimali yüksek” dedi. “Kesin olarak doğrulamak zor olsa da, açığa çıkan veri alanları bu verilerin yeni bir saldırının sonucu olmadığını, daha ziyade önceki ihlalden elde edilen verilerin yeniden dolaşımı olduğunu gösteriyor.”
Her iki durumda da, ihlal edilen verilerle ilgili iddiaları ve bunların Eylül 2022’deki yeni, ayrı bir olayla ilgili olup olmadığını doğrulamak için LAUSD tarafından bir soruşturma yapılması gerektiğini söyledi.