Worcester, Massachusetts’ten 19 yaşındaki üniversite öğrencisi Matthew D. Lane, Aralık 2024’te PowerSchool’a büyük bir veri ihlaliyle sonuçlanan bir siber saldırı düzenlediği için 4 yıl hapis cezasına çarptırıldı.
PowerSchool, dünya çapında 18.000’den fazla müşterisi olan ve 60 milyondan fazla öğrenciyi destekleyen, K-12 okulları ve bölgeleri için bulut tabanlı bir yazılım çözümleri sağlayıcısıdır.
Mahkeme belgelerine göre ABD Bölge Yargıcı Margaret R. Guzman, Salı günü Lane’i dört yıl hapis cezasına çarptırdı ve ona 14 milyon dolar tazminat ve 25.000 dolar para cezası ödemesini emretti.
Lane, Mayıs 2025’te, her biri korumalı bilgisayarlara izinsiz erişim, siber gasp komplosu, siber gasp ve ağırlaştırılmış kimlik hırsızlığı olmak üzere dört federal suçlamayı kabul etti.
ABD Adalet Bakanlığı’nın mayıs ayında söylediği gibi, Lane ve suç ortakları, 19 Aralık 2024’te eğitim yazılımı devinin PowerSource müşteri destek portalına sızmak için bir taşerondan çalınan kimlik bilgilerini ve dünya çapında 6.505 okul bölgesinden 9,5 milyon öğretmen ve 62,4 milyon öğrencinin kişisel bilgilerini içeren okul veritabanlarını indirmek için bir bakım aracı kullandı.
Etkilenen öğrencilerin ve öğretim üyelerinin tam adları, fiziksel adresleri, telefon numaraları, şifreleri, ebeveyn bilgileri, iletişim bilgileri, Sosyal Güvenlik numaraları ve tıbbi verileri de dahil olmak üzere öğrencilere ve öğretim üyelerine ait çok çeşitli hassas verileri çaldıktan sonra, 28 Aralık’ta Bitcoin olarak 2,85 milyon dolarlık fidye talepleri gönderdiler.
Bu fidye mektuplarının, 109 milyon kişiyi etkileyen 2022 AT&T veri ihlali, SnowFlake veri hırsızlığı saldırıları ve bir Salesforce ihlali dalgası da dahil olmak üzere pek çok ihlalle bağlantılı kötü şöhretli bir tehdit grubu olan Shiny Hunters’tan geldiği iddia edildi.
PowerSchool veri sızıntısını önlemek için fidye ödese de ne kadar ödendiği hala belirsiz. Lane ve suç ortakları, kendilerine ödeme yapılmış olmasına rağmen, öğrenci verilerinin sızmasını önlemek için etkilenen okul bölgelerini bireysel olarak ek fidye ödemeye zorlamaya çalıştı.
Mart ayında PowerSchool, tehdit aktörlerinin daha önce Ağustos ve Eylül 2024’te aynı ele geçirilen kimlik bilgilerini kullanarak PowerSource’u ihlal ettiğini ancak olaylarla ilgili CrowdStrike soruşturmasında aynı saldırganın üç ihlalle bağlantısı olduğunu gösteren bir kanıt bulamadığını da ortaya çıkardı.
Geçen ay Teksas Başsavcısı Ken Paxton, PowerSchool’a Teksas’taki ailelere ve okul bölgelerine ait verileri korumadığı ve güvenlik uygulamaları konusunda müşterileri yanılttığı gerekçesiyle dava açmıştı.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın