Eğitim yazılımı devi PowerSchool, bir tehdit aktörünün PowerSchool SIS platformunu kullanarak okul bölgelerindeki öğrencilerin ve öğretmenlerin kişisel bilgilerini çalmasına olanak tanıyan bir siber güvenlik olayına maruz kaldığını doğruladı.
PowerSchool, dünya çapında 60 milyondan fazla öğrenciyi ve 18.000’den fazla müşteriyi destekleyen, K-12 okulları ve bölgeleri için bulut tabanlı bir yazılım çözümleri sağlayıcısıdır. Şirket, okul bölgelerinin çalışmasına yardımcı olacak; kayıt, iletişim, katılım, personel yönetimi, öğrenme sistemleri, analitik ve finans platformları da dahil olmak üzere çok çeşitli hizmetler sunmaktadır.
Şirketin ürünleri çoğunlukla okul bölgeleri ve personeli tarafından bilinirken, PowerSchool aynı zamanda ABD’deki birçok K-12 bölgesi tarafından öğrencilere kişiselleştirilmiş üniversite, kariyer ve hayata hazırlık planlama araçları sunmak için kullanılan bir platform olan Naviance’ı da işletmektedir.
Veri hırsızlığı saldırılarında hedef alındı
Salı öğleden sonra müşterilere gönderilen ve BleepingComputer tarafından alınan bir siber güvenlik olayı bildiriminde PowerSchool, ihlalden ilk kez 28 Aralık 2024’te PowerSchool SIS müşteri bilgilerinin PowerSource müşteri destek platformu aracılığıyla çalınmasının ardından haberdar olduklarını söyledi.
PowerSchool SIS, öğrenci kayıtlarını, notlarını, devamını, kaydını ve daha fazlasını yönetmek için kullanılan bir öğrenci bilgi sistemidir (SIS).
“Okul bölgenizin ana iletişim noktası olarak, 28 Aralık 2024’te PowerSchool’un, topluluk odaklı müşteri destek portallarımızdan biri aracılığıyla belirli bilgilere yetkisiz erişimi içeren olası bir siber güvenlik olayından haberdar olduğunu bildirmek için size ulaşıyoruz. , PowerSource”, BleepingComputer ile paylaşılan bir bildirimi okuyor.
Olay araştırıldıktan sonra, tehdit aktörünün ele geçirilen kimlik bilgilerini kullanarak portala erişim sağladığı ve “verileri dışa aktarma” müşteri destek aracını kullanarak verileri çaldığı belirlendi.
PowerSchool, BleepingComputer’a yaptığı açıklamada, “Yetkisiz taraf, PowerSource adı verilen topluluk odaklı müşteri destek portallarımızdan birine erişmek için güvenliği ihlal edilmiş bir kimlik bilgisi kullanabildi.” dedi.
“PowerSource, PowerSchool mühendislerinin sürekli destek için Müşteri SIS örneklerine erişmesine ve performans sorunlarını gidermesine olanak tanıyan bir bakım erişim aracı içerir.”
Saldırgan, bu aracı kullanarak PowerSchool SIS ‘Öğrenciler’ ve ‘Öğretmenler’ veritabanı tablolarını bir CSV dosyasına aktardı ve bu dosya daha sonra çalındı.
PowerSchool, çalınan verilerin öncelikle isimler ve adresler gibi iletişim bilgilerini içerdiğini doğruladı. Ancak bazı bölgeler için Sosyal Güvenlik numaralarını (SSN’ler), kişisel olarak tanımlanabilir bilgileri (PII), tıbbi bilgileri ve notları da içerebilir.
Bir PowerSchool sözcüsü BleepingComputer’a müşteri biletlerinin, müşteri kimlik bilgilerinin veya forum verilerinin ihlalde açığa çıktığını veya sızdırıldığını söyledi.
Şirket ayrıca tüm PowerSchool SIS müşterilerinin etkilenmediğini ve yalnızca bir müşteri alt kümesinin bildirim yayınlamak zorunda kalacağını öngördüklerini vurguladı.
Olaya yanıt olarak şirket, olayı araştırmak ve hafifletmek için CrowdStrike dahil üçüncü taraf siber güvenlik uzmanlarıyla iletişime geçti.
Buna, tüm PowerSource müşteri destek portalı hesapları için parolaların değiştirilmesi ve daha sıkı parola politikaları uygulanması da dahildir.
PowerSchool, yalnızca müşterilerin erişebildiği alışılmadık derecede şeffaf bir SSS’de bunun bir fidye yazılımı saldırısı olmadığını, ancak verilerin yayınlanmasını önlemek için fidye ödediklerini de doğruladı.
BleepingComputer tarafından görülen bir SSS’de “PowerSchool, tehdit aktörleriyle müzakere konusunda derin deneyime sahip profesyonel bir danışman olan CyberSteward’ın hizmetlerinden faydalandı” ifadesi yer alıyor.
“Onların rehberliğiyle PowerSchool, tehdit aktöründen verilerin silindiğine ve hiçbir ek kopyanın bulunmadığına dair makul güvence aldı.”
Tehdit aktörlerine ne kadar ödeme yapıldığı sorulduğunda BleepingComputer’a şu yanıt verildi: “Soruşturmamızın hassas yapısı göz önüne alındığında, belirli ayrıntılar hakkında bilgi veremiyoruz.”
Şirket, tüm veri gaspı saldırılarında olduğu gibi verilerin silindiğini gösteren bir video aldıklarını söylese de bunun yüzde yüz garantisi yoktur.
Şirket şu anda verilerin sızdırılıp sızdırılmadığını veya gelecekte sızdırılıp sızdırılmayacağını belirlemek için sürekli olarak karanlık ağı izliyor.
Etkilenenler için PowerSchool, etkilenen yetişkinlere kredi izleme hizmetleri ve etkilenen küçükler için kimlik koruma hizmetleri sunuyor.
PowerSchool, operasyonlarının etkilenmediğini ve ihlale rağmen hizmetlerin her zamanki gibi devam ettiğini söyledi.
Şirket şu anda etkilenen okul bölgelerini bilgilendiriyor ve öğretmenlerin ve ailelerin olay hakkında bilgilendirilmesine yardımcı olmak için sosyal yardım e-postaları, konuşma konuları ve SSS’leri içeren bir iletişim paketi sağlayacak.
Etkilenip etkilenmediğinizi belirleme
Olayla ilgili bir Reddit başlığında okul bölgesi BT personeli, müşterilerin ps-log-denetim dosyalarında “200A0” adlı bir bakım kullanıcısının listelenip listelenmediğini kontrol ederek verilerin çalınıp çalınmadığını tespit edebileceklerini söyledi.
Bir PowerSchool SIS müşterisi, “Denetim günlüğü erişimini, toplu veri günlüklerindeki zamana göre toplu veri aktarımlarıyla ilişkilendirebilirsiniz” tavsiyesinde bulundu.
Başka bir müşteri, günlüklerinin 22 Aralık 2024’te Öğrenci ve Öğretmen tablolarının dışa aktarıldığını gösterdiğini paylaştı.
Başka bir müşteri, “Harika, Elimde Ukrayna IP adresinden Students_export.csv ve Teachers_export.csv için 12/22 tarihli günlükler var” dedi.
BleepingComputer, şirketin müşterilere etkilenip etkilenmediklerini kontrol etmeleri ve nelerin indirildiğini belirlemeleri için ayrıntılı kılavuzlar da sunacağını öğrendi.
Soruşturma devam ediyor ve siber güvenlik firması CrowdStrike’ın 17 Ocak 2025’e kadar nihai bir rapor yayınlaması bekleniyor.
PowerSchool şeffaflığa bağlı olduklarını ve raporu hazır olduğunda etkilenen okul bölgeleriyle paylaşacaklarını söyledi.