Olay ve İhlal Yanıtı, Güvenlik Operasyonları
Büyük veri ihlallerini önlemek için neden MFA ve veri minimizasyonu önemli kalıyor?
Mathew J. Schwartz (Euroinfosec) •
24 Ocak 2025
Powerschool’un müşterilerinin verilerinin büyük hırsızlığına yönelik soruşturmasından zaten açık dersler ortaya çıktı.
Ayrıca bakınız: Dijital Dönüşüm Çağında Siber Güvenlik: Bir Gerçeklik Kontrolü
Ana bir paket, satıcının hesaplarına erişimi korumak için çok faktörlü kimlik doğrulama kullanamaması ve MFA’nın mevcut olması, muhtemelen ihlalin önlenmesidir.
İrlanda’nın ilk bilgisayar acil durumunu kuran BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consulting’in sahibi BH Consults, herhangi bir çevrimiçi sistem için temel tablo bahisleri olarak yapılandırılmalıdır. Yanıt ekibi.
Honan, “Herhangi bir kritik hizmet için üçüncü taraf bir platform kullanıyorsanız, bu platformdaki güvenlik kontrollerinin ihtiyaçlarınız için uygun olup olmadığını belirlemek için düzenli risk değerlendirmeleri yapmalısınız.” Dedi. Diyerek şöyle devam etti: “Tedarikçiden bu güvenlik özelliklerini sağladıklarını veya belirlediğiniz güvenlik boşluklarını ele almak için üçüncü taraf çözümlerine bakmalarını talep etmelisiniz.”
Veri ihlali, PowerSchool kurulumunun bir parçası olarak varsayılan olarak yüklenen PowerSource adlı bir uzaktan destek aracına kadar izliyor gibi görünüyor. PowerSource, PowerSchool’un müşteri destek ekibini tam, müşterinin veritabanlarına doğrudan erişim sağlar.
Saldırgan, geçerli bir PowerSource Müşteri Desteği Kullanıcı Adı ve Parola elde etmiş ve müşteri verilerini çalmak için erişimi kullanmış gibi görünüyor.
Müfettişler henüz çocuk ve yetişkin ihlali kurbanlarının sayısını ölçmediler. Powerschool’un Aralık 2024 ihlaliyle ilgili soruşturması devam ediyor ve olay müdahale firması Crowdstrike tarafından yönetiliyor. Eğitim yazılımı satıcısı, yazılımının 18.000’den fazla müşteri genelinde 60 milyon K-12 öğrenci ve öğretmenle ilgili bilgileri sakladığını söylüyor. Onaylı ihlal mağdurları arasında ABD, Kanada, Bermuda’daki okullar ve bölgeler ve bazı uluslararası Amerikan okulları bulunmaktadır.
Bir sözcü bana, İngiltere’deki bazı okullar Powerschool’u kullanırken, İngiltere Bilgi Komiseri Ofisi veri hırsızlığından etkilendiğine dair herhangi bir rapor almadığını söyledi.
Saldırının henüz ortaya çıkmamasına rağmen, ABD’deki ihlal üzerine çok sayıda sınıf eylem davası açıldı (bkz:: PowerSchool, okulların mega veri ihlaline göre 23 dava ile karşı karşıya).
Saldırganların Çarşamba günü bildirdiğine göre, saldırganların 62.4 milyon öğrenci ve 9.5 milyon öğretmenle ilgili kişisel verileri çaldığını iddia ediyor. Bu iddia doğrulanamadı. Eğer doğruysa, bu ihlali 2024’teki en büyük 10 kişiden biri yapar.
Algılayıcı bir faktör, birçok PowerSchool kullanıcısının sistemlerinde kapsamlı miktarda geçmiş veri tutuyor gibi görünmesidir. Rogers Media, Toronto Bölge Okul Kurulu, ihlalin 1985 yılına kadar öğrencilerle ilgili verileri ortaya çıkarmış olabileceğini söyledi. Ontario gizlilik komiseri konuyu araştırıyor.
Müşteriler, soruşturması sona erdiğinde Powerschool’dan ihlalin temel bir neden analizini görmeyi umduklarını söyledi.
Zaten, bazı net dersler ortaya çıktı:
- Çok faktörlü kimlik doğrulamayı zorunlu hale getirin: Kimlik bilgisi hilesi saldırıları kolaylığı göz önüne alındığında, satıcıların MFA ve VPN’leri kullanarak tüm uzaktan erişimi korumaları gerekir. Bu tür gerçekleri vurgulayan tekrarlanan kanıtlara rağmen, Powerschool bunu ihlalden önce yapmış gibi görünmüyor; sadece sonra.
- Uygulama Veri Minimizasyonu: Okullar neden hala bu kadar çok tarihsel veriler depoluyordu? Honan, “Eski atasözü ‘saklamazsanız, güvence altına almanız gerekmez’ verileri söz konusu olduğunda doğru.” Dedi.
- Müşterileri Hassas Tutun: 2008’den beri Powerschool kullanan bir okul bölgesi için BT yöneticisi, kapsamlı eğitime rağmen, çok sayıda eğitim oturumuna katılan Powerschool yöneticisi de dahil olmak üzere hiç kimsenin PowerSource’un varsayılan olarak kurulduğunu söyledi. Bu erişim, okul bölgesinin MFA’yı içeren dahili kimlik doğrulama kontrollerini atladı.
- Kilitleme Kılavuzu: Yukarıdaki noktaya kadar, Powerschool neden tüm müşterilerin yazılımın mümkün olan en fazla kilitlenmesini sağlamak için atabilecekleri temel sertleştirme adımlarını detaylandırmadı?
- Düz oynayın: Powerschool’un kurbanları ihlal etmek için ilk iletişimlerinden biri, kuruluşun çalınan verileri silme sözü için saldırganlara nasıl ödeme yaptığını vurguladı. Eleştirmenler, şirketi bu tür iletişim yoluyla hasarı en aza indirmeye çalışmakla suçlayabilir. Uzmanlar ayrıca bu tür cezai vaatlerin boş olduğunu ve bir saldırganın çalınan verileri sildiğine dair bir kanıt olmadığını söylüyor (bkz:: Powerschool’un İhlal Yanılgısı: Suçlulara Sözler İçin Ödeme Yapmak).
PowerSchool’un ihlalle ilgili brifinglerine katılan müşteriler, şirketin MFA ve VPN derslerini gecikmiş bir şekilde öğrendiklerini söyledi. Şirket ayrıca ihlal konusunda onları uyarmak için okul bölgeleriyle hızlı bir şekilde iletişim kurdu.
Açıkçası, her iki durumda da, at zaten sol açık ahır kapısından çıkmıştı ve müşterilerin yapabileceği hiçbir şey yoktu, ancak verilerinin çalınıp çalmayacağını belirlemeye çalışmak, belki de PowerSource erişimini devre dışı bıraktı ve Powerschool’un ihlal soruşturmasını sonuçlandırmasını beklemeyi beklemeye çalışmak dışında.