Olay ve İhlale Müdahale, Güvenlik Operasyonları
Müşteriler PowerSource Destek Aracının Sistemlerine Neden Doğrudan Erişim Sağladığını Soruyor
Mathew J. Schwartz (euroinfosec) •
20 Ocak 2025
Eğitim yazılımı üreticisi PowerSchool, öğrenci ve öğretim üyesi verilerini içeren büyük bir veri ihlalinin ardından toplu dava statüsü isteyen en az 23 davayla karşı karşıya.
Ayrıca bakınız: DFIR Tutucu Hizmetleri için Gartner Pazar Rehberi
Folsom, California şirketi, 8 Ocak civarında birden fazla okul ve bölgeyi, bir saldırganın 10 Aralık ile 28 Aralık 2024 tarihleri arasında PowerSchool öğrenci bilgi sistemi platformundan öğrenci ve öğretim üyesi veri tabanı tablolarını çaldığına dair uyarmaya başladı.
ABD’nin Kaliforniya Doğu Bölgesi Bölge Mahkemesinde açılan davaların her biri, kişisel olarak tanımlanabilir bilgileri veya kişisel sağlık bilgileri ihlalde açığa çıkan, ülke çapında etkilenen mevcut ve eski öğrenci ve öğretim üyelerini temsil etmeyi amaçlıyor.
İhlalin, ABD ve Kanada’daki okul bölgelerinden ve kendi kendini yöneten İngiliz denizaşırı bölgesi Bermuda’dan bilgi hırsızlığıyla sonuçlandığı görülüyor.
PowerSchool davalar hakkında yorum yapmaktan kaçındı. İhlalin tam boyutu henüz belli değil. PowerSchool’un CrowdStrike’ın öncülük ettiği soruşturması hâlâ aktif. Şirket, yazılımının, ABD’de öğrenci kaydı açısından ilk 100 bölgenin 90’ından fazlası dahil olmak üzere 18.000’den fazla müşteride 60 milyon K-12 öğrencisi ve öğretmeninin bilgilerini sakladığını söyledi Bain Capital, şirketi 5,6 milyar dolara satın almak için geçen Ekim ayında bir anlaşma imzaladı , bunu özel olarak alıyorum.
Açığa çıkan bilgiler arasında, ihlal edilen herhangi bir okulun SIS veri tabanında depolanan bilgiler yer alıyordu; bunlar arasında genellikle isim, iletişim bilgileri, doğum tarihi, tıbbi uyarı bilgileri ve Sosyal Güvenlik numaraları yer alıyordu. PowerSchool, “Müşteri gereksinimlerindeki farklılıklar nedeniyle, herhangi bir birey için sızdırılan bilgiler müşteri tabanımız genelinde farklılık gösteriyordu” dedi.
Uzaktan Erişim Soruları
Şirket, yazılımının Temmuz 2024’te küresel bir kesintiyi tetiklemesinden sonra CrowdStrike gibi büyük bir güvenlik olayının ardından bazı diğer kuruluşların yaptığı gibi, ihlalin tam bir temel neden analizini yayınlama taahhüdünde bulunmadı.
Bir PowerSchool sözcüsü Bilgi Güvenliği Medya Grubu’na şunları söyledi: “Bu olayla ilgili soruşturmamız devam ediyor; ancak kanıtlar, yetkisiz bir tarafın, toplum odaklı müşteri destek portallarımızdan biri olan PowerSource’a erişmek için ele geçirilen bir kimlik bilgisini kullanabildiğini gösteriyor.” “Etkilenen portala tüm erişimi kısıtladık.”
Müşteriler bunun portalın bir VPN arkasına taşınmasını ve ona erişmek için çok faktörlü kimlik doğrulamanın uygulanmasını içerdiğini söyledi. Bazıları şirketi ilk etapta bunu yapmamakla ve yetkili, uzak bir kullanıcının yerel güvenlik kontrollerini atlamasına olanak tanıyan bir özellik oluşturmakla eleştirdi; eleştirmenler bunun arka kapıyla eşdeğer olduğunu söylüyor.
Adının açıklanmaması kaydıyla konuşan yaklaşık 5.000 öğrencinin bulunduğu etkilenen bir okul bölgesinin BT yöneticisi, “Müşteriler olarak PowerSchool’un ürünlerinde ‘uzaktan bakım’ adı verilen yerleşik bir özelliğe sahip olduğunun farkında değildik” dedi. “Bu, ürünün web arayüzünün yönetim kısmına doğrudan PowerSchool desteğine erişime izin verdi. Uzaktan bakım erişimi, MFA’yı zorlayan kendi dahili kimlik doğrulama planımızı atladı. Görünüşe göre bu uzaktan erişim, PowerSchool’un PowerSource uzaktan destek aracı aracılığıyla sağlandı. yine halka açık internete açıktı ve MFA ile kimlik doğrulaması yapılmadı.”
PowerSchool, PowerSource’un arka kapı olarak nitelendirilmesine karşı çıktı. Bir PowerSchool sözcüsü Information Security Media’ya şunları söyledi: “PowerSource, PowerSchool SIS müşteri tabanımızda gelişmiş teknik müşteri desteği ve veri yönetimi için kullanılıyor. PowerSource, bakım ekiplerimiz tarafından on yılı aşkın bir süredir müşterileri desteklemek için kullanılan, birçok müşterilerimizin aşina olduğu bir araçtır.” Grup. “Araç, müşterinin platformunun uygulama süreci sırasında etkinleştirilir. Daha sonra müşteriler bakım erişimini devre dışı bırakmayı seçebilir ve bazı müşteriler bunu yapmayı seçerken diğerleri bunu yapmaz.”
BT yöneticisi, “Bu doğru olabilir ama PowerSchool’u 2008’de uygulamaya koyduk ve o zamanlar çok farklı bir güvenlik konseptimiz vardı” diye yanıt verdi. “Unutmayın, bu, web uygulamalarının içinde bulunuyor. Bu olaydan sonra biz de dahil olmak üzere çoğu müşteri, altı veya yedi menüye girip bu aracı devre dışı bıraktı, ancak ne ben ne de mevcut SIS yöneticimiz bu aracın varlığından haberdar değildi ve kendisi katıldı. çoklu PowerSchool eğitimleri.”
Kaç İhlal Mağduru?
Bir dava, herhangi bir toplu davanın ihlalden etkilenen “827.000’den fazla kişiyi” kapsayacağını ileri sürüyor.
2013’ten 2024’e kadar Boston Devlet Okulları’nda CIO olarak görev yapan Mark Racine, K12TechPro.com çevrimiçi topluluğu için yazdığı bir blog yazısında, bu rakamın “muhtemelen eksik bir tahmin” olduğunu söyledi.
Bazı bölgeler, ihlalden etkilenen toplam kişi sayısının mevcut kayıt sayısından 4 ila 10 kat daha fazla olduğunu bildirdi. SIS sisteminin eski öğrenci ve öğretim üyelerine ait verileri sakladığını söyledi. “Örneğin, tüm eyaleti için PowerSchool’u kullanan Güney Carolina’da bu yıl yaklaşık 800.000 aktif öğrenci var. PowerSchool’da depolanan her geçmiş yılda yaklaşık 60.000 öğrenci eklenecektir ve Güney Carolina, PowerSchool’un müşteri tabanının yüzde yarısından azını temsil etmektedir.”
Veya Wisconsin’deki Hurley Okul Bölgesi’nin uyardığı gibi: “PowerSchool’u 2009’da kullanmaya başladık, dolayısıyla o yıl ve bugüne kadar kayıtlı olan öğrencilerden gelen her türlü bilgi tehlikeye girebilir.”
Güvenlik uzmanları, sistemin neden eski öğrenciler ve öğretim üyelerine ilişkin verileri saklamaya devam ettiğini sorguladı. Kaliforniya Tüketici Gizliliği Yasası gibi bazı yasalar, işletmelerin bir tüketicinin kişisel bilgilerini yalnızca “kişisel bilgilerin toplanma amacına ulaşmak için gerekli ve orantılı olması” durumunda toplamasını, kullanmasını, saklamasını veya paylaşmasını zorunlu kılarak veri minimizasyonunu zorunlu kılar. işlenmiş.” Ancak CCPA, kamu sektörü için değil, kâr amaçlı okullar için geçerlidir.
PowerSchool’dan gelen ilk bildirimlerde, özel işletmenin, çalınan verileri silme sözü karşılığında saldırganlara fidye ödediği vurgulandı. Güvenlik uzmanları ve kolluk kuvvetleri, ihlallere maruz kalan kuruluşlara soyut vaatler için asla fidye ödememeleri yönünde çağrıda bulunmaya devam ediyor. Herhangi bir suçlunun çalınan verileri sildiği konusunda hiçbir kanıt bulunmadığını söylerken bunun tersini gösteren kanıtlar çoktur (bkz.: PowerSchool’un İhlal Yanılgısı: Suçlulara Verilen Sözler İçin Ödeme Yapmak).
Racine, örneğin saldırganın okulların SIS veri tabanı tablolarını şifrelemeye veya silmeye kalkışması durumunda sistem düzeyinde kesinti yerine yalnızca veri sızıntısı içermesi nedeniyle saldırıyla ilgili “umutlu astarlar” bulunduğunu söyledi.
“Okul bölgeleri, öğrenci güvenliği ve okul operasyonları için SIS’lerine bağımlıdır ve PowerSchool’un kullanılabilirliği etkilenmiş olsaydı okulların iptal edilmesinden bahsederdik” dedi.