Powerschool, şirketin daha önce 4 ay önce, Ağustos ayında ve daha sonra tekrar Eylül ayında hacklendiğini belirleyen büyük Aralık 2024 veri ihlali hakkında uzun zamandır beklenen bir Crowdstrike soruşturması yayınladı.
PowerSchool, dünya çapında 60 milyondan fazla öğrenciye ve 18.000 müşteriye hizmet veren bulut tabanlı bir K-12 yazılım sağlayıcısıdır ve kayıt, iletişim, katılım, personel yönetimi, öğrenme, analiz ve finans çözümleri sunar.
Aralık ayında şirket, bilgisayar korsanlarının PowerSource adlı müşteri destek portalına yetkisiz erişim elde ettiğini açıkladı. Bu portal, tehdit aktörünün müşterilerin veritabanlarına bağlanmasına ve tam adlar, fiziksel adresler, iletişim bilgileri, sosyal güvenlik numaraları (SSN’ler), tıbbi veriler ve notlar dahil olmak üzere hassas bilgileri çalmasına izin veren bir uzak bakım aracı içeriyordu.
Şirket bu olaydan etkilenen kişi sayısını resmi olarak açıklamamış olsa da, BleepingComputer ilk olarak tehdit oyuncunun öğrenciler ve öğretmenler de dahil olmak üzere 72 milyon kişinin verilerini çaldığını iddia ettiğini bildirdi.
Eski ihlal ortaya çıktı
Geçen hafta geç saatlerde yayınlanan bir güncellemede Powerschool, 28 Şubat 2025’te derlenen bir Crowdstrike olay raporunu paylaştı.
Bu raporda Crowdstrike, tehdit aktörlerinin PowerSource aracılığıyla PowerSource aracılığıyla tehlikeye attığını ve 19 Aralık 2024, 19:43:14 UTC ve 28 Aralık 2024, 06:31:18 UTC arasındaki erişimini sürdürdüğünü doğruladı.
Siber güvenlik firması, tehdit oyuncusunun öğretmenlerin ve öğrencilerin verilerini tehlikeye atılan sistemlerden söndürdüğünü de doğruladı, ancak diğer veritabanlarının çalındığına dair bir kanıt olmadığını belirtti.
Benzer şekilde, kötü amaçlı yazılımların Powerschool sistemlerine dikildiğine veya tehdit oyuncusunun ayrıcalıklarını artırdığına, yanal veya aşağı akışlı müşteri/okul sistemlerine taşındığına dair bir kanıt yoktur.
Crowdstrike, 2 Ocak 2025 itibariyle, karanlık web zekası, tehdit aktörlerinin bir gasp talebi ödendikten sonra verileri yayınlamama sözlerini tuttuğunu gösterdi, çünkü siber güvenlik firması satış için sunulan veya çevrimiçi sızdırılmış verileri bulamadı.
Crowdstrike ayrıca, tehdit aktörlerinin PowerSource’u Aralık ayının başlarında bile ihlal ettiğini, aylar önce Ağustos ve Eylül 2024’te aylar önce kullanılan tehlike altına alınan kimlik bilgilerinin ihlal ettiğini buldu.
Bununla birlikte, tüm ihlallerin arkasında aynı tehdit aktörü olup olmadığını doğrulamak için yeterli veri yoktur.
CrowdStrike, “16 Ağustos 2024’te 01:27:29 UTC’den başlayarak, PowerSource Logs, bilinmeyen bir aktörün PowerSchool PowerSource portalına tehlikeye atılan destek kimlik bilgilerini kullanarak başarıyla eriştiğini gösterdi.”
“Crowdstrike, bu etkinliği Aralık 2024’teki faaliyetten sorumlu tehdit oyuncusuna atfetmek için yeterli kanıt bulamadı.”
“Mevcut SIS günlük verileri, Ağustos ve Eylül etkinliğinin Powerschool SIS verilerine yetkisiz erişim içerip içermediğini gösterecek kadar geri dönmedi.”
Şu anda, Powerschool hala etkilenen okulların, öğrencilerin veya öğretmenlerin toplam sayısını resmi olarak paylaşmamış ve şeffaflık konusundaki endişelerini dile getirmemiştir.
Bununla birlikte, kaynaklar BleepingComputer’a, ihlalin ABD, Kanada ve diğer ülkelerde 62.488.628 öğrenci ve 9.506.624 öğretmenin verileri çalınan 6.505 okul bölgesini etkilediğini söyledi.
BleepingComputer, en son bulgularla ilgili daha fazla ayrıntı istemek için PowerSchool ile iletişime geçti ve tekrar duyarsak bu yayını güncelleyeceğiz.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.