Siber suç, veri ihlali bildirimi, veri güvenliği
K-12 öğrenci ve fakülte verilerini çalmakla suçlanan genç, 3 milyon dolarlık gasp
Mathew J. Schwartz (Euroinfosec) •
26 Mayıs 2025
Bir genç üniversite öğrencisi, milyonlarca öğrenci ve öğretim üyesine ilişkin verileri çalmakla suçlandıktan sonra K-12 Öğrenci Bilgi Sistemi Platformu Sağlayıcısı Powerschool’u zorlamaktan suçlu bulunmayı planlıyor.
ABD’li savcılar geçen hafta Massachusetts merkezli Matthew D. Lane, 19 yaşındaki hack, gasp ve kimlik hırsızlığı suçlamalarını açıkladı. Salı günü imzaladığı anlaşma, birden fazla suçlamadan suçlu bulunma sözü verdi.
Savcılar, Lane’in Worcester, Massachusetts merkezli bir Roma Katolik üniversitesi olan Varsumpt Üniversitesi’nde bir öğrenci olduğunu söyledi. Ona yönelik suçlamalar maksimum 17 yıl hapis cezası taşıyor. Mahkeme, sanığın savunma değişikliğini duymak için henüz bir tarih planlamamıştır.
Avukatı yorum talebine hemen cevap vermedi.
Lane’e karşı yapılan suçlamalar, iki farklı kuruluşa yönelik saldırılarla ilgilidir: bir ABD telekomünikasyon firması ve “Amerika Birleşik Devletleri, Kanada ve başka yerlerde okul sistemlerine hizmet veren bir yazılım ve bulut depolama şirketi”. Her iki kurban olarak adlandırılan savcılar, ikinci kurbanla ilgili detaylar ve zamanlama, Kaliforniya merkezli Powerschool Folsom’a yönelik saldırı ile kesin bir eşleşmedir.
Powerschool ihlali, ABD, Kanada’daki okullardan ve kendi kendini yöneten İngiliz denizaşırı toprakları Bermuda’dan gelen bilgilerin çalınmasıyla sonuçlandı.
PowerSchool platformu, öğrenci kayıt numaralarına dayanan en iyi 100 ABD bölgesinin 90’ından fazlası da dahil olmak üzere 18.000’den fazla müşteri genelinde yaklaşık 60 milyon K -12 öğrenci ve öğretmenle ilgili bilgileri depolamaktadır. Blewing Computer’ın ilk bildirdiği gibi, saldırgan 62.4 milyon öğrenci ve 9.5 milyon öğretmenle ilgili kişisel verileri çaldığını iddia etti, ancak bu iddiada bulunulamadı.
Lane ayrıca, çalınan verileri sızdırmama sözü karşılığında PowerSchool’dan o zamanlar yaklaşık 2.85 milyon dolar değerinde 30 bitcoin talep etmekle suçlanıyor.
ABD Massachusetts’in avukatı Leah B. Foley, “Bu sanık, milyonlarca çocuk ve öğretmen hakkında özel bilgiler çaldı, kurbanlarına önemli finansal maliyetler getirdi ve ebeveynlere çocuklarının bilgilerinin suçluların eline sızdığına dair korku aşıladı – hepsinin hackleme kemerine bir çentik koymak için.” Dedi.
Bu ayın başlarında, birisi doğrudan etkilenen okulları zorlamak için çalıntı verileri kullanmaya başladı ve Powerschool’u, saldırı sonrası fidye ödediğini – miktarın açıklanmadığını – bu sonucu denemek ve önlemek için kamuya açıklamaya yönlendirdi (bakınız: bkz: Peri Masalı Sonu Son: PowerSchool’un Hacker’ı Müşterileri Hedefliyor).
İhlal etmek için bağlı çalınan kimlik bilgileri
PowerSchool ilk olarak 8 Ocak’ta bir bilgisayar korsanının bir önceki ay ağını ihlal ettiği konusunda okulları ve bölgeleri uyarmaya başladı. Bain Capital tarafından geçen Ekim ayında kapanan bir anlaşmada 5,6 milyar dolara satın alınan şirket, onu özel alan, hemen olay müdahale firması Crowdstrike’i araştırmak için işe aldı ve daha sonra son olay raporunu yayınladı.
Mahkeme belgelerine göre, Eylül 2024’te Lane, Powerschool için çalışan bir yükleniciye ağına erişmek ve öğrenci ve hatalı verileri çalmak için çalışan bir yükleniciye atanan çalıntı giriş kimlik bilgilerini kullandı. 19 Aralık 2024’te Ukrayna merkezli bir bulut depolama sağlayıcısından alan kiraladı ve ertesi gün isimler, doğum tarihleri, gizli tıbbi bilgiler, sosyal güvenlik numaraları ve Powerschool tarafından depolanan öğrenciler ve fakülte ile ilgili diğer bilgiler.
Mahkeme belgelerine göre, 28 Aralık 2024’te PowerSchool ile 28 Aralık 2024’te Powerschool ile 30 bitcoin talebi alarak hızla izledi.
PowerSchool, Lane’e karşı yapılan suçlamalar hakkında yorum talebine hemen yanıt vermedi, ancak kayda yapılan bir açıklamada, aktif davalar hakkında yorum yapamasa da, “bu konuyu doğrudan müşterilerimizle çalışmaya odaklanmaya odaklanıyor” ve öğrenciler, öğretmenler ve fakülte “hizmet etmeye kararlı” olduğunu söyledi.
İhlal nedeniyle Powerschool’a karşı sınıf hareketi arayan en az 23 dava açılmıştır.
Telekom kurbanı
Savcılar ayrıca Lane, Illinois merkezli isimsiz bir ortak komplocu ile birlikte “ABD Avukatı tarafından bilinen ve bilinmeyen diğerleri” ile birlikte, Ekim 2022’de ABD merkezli bir telekomünikasyon firmasından çalınan hassas müşteri bilgilerini elde etmekle suçladılar. Nisan 2024 civarında, şüpheliler verileri firmadan 200.000 dolar denemek ve zorlamak için kullandılar, daha sonra mahkeme belgelerine göre verileri sızdırmayacağına dair bir söz karşılığında 75.000 dolara düşürüldü.
Mağdurla müzakerelerde, herhangi bir fidye ödemesinin ne sağlayacağını sorduğunda, mahkeme belgelerine göre Lane, “Şimdi bu verilerin bir kopyasını olan tek kişi biziz. Bu saçmalığı durdurun [or] Yöneticileriniz ve çalışanlarınız aynı kaderi görecek. … Doğru kararı ver ve fidye ödeyin. Eğer durmaya devam ederseniz, sızdırılacak. ”
Savcılar, Lane ve yardımcı komplocu, çalkalanmalarını koordine ederken birbirleriyle iletişim kurmak için şifreli sinyal mesajlaşma uygulamasını kullandılar.
Savunma sözleşmesi
Lane’in savunma anlaşması, siber gasp komplosu, siber gasp, yetkisiz erişim ve iki farklı kurbanı hacklemeye bağlı olan kimlik hırsızlığı suçlamalarından suçlu olacağını iddia ediyor.
Lane’e yönelik suçlamaların her biri, bilgisayar suçu suçlamalarına art arda hizmet verilmesi için zorunlu iki yıl hapis cezası veren ağırlaştırılmış kimlik hırsızlığı dışında beş yıla kadar hapis cezası taşır. Hizmet edilecek herhangi bir cezanın nihai tespiti bir Federal Bölge Mahkemesi Hakimi tarafından yapılır.
İddia sözleşmesi şartları uyarınca Lane, bir hakimin 9 yıl ve üç ay hapsedilmesi veya daha az tutulduğu herhangi bir cezaya meydan okumamayı kabul edecektir. Ayrıca, saldırılara bağlı 12 Monero – aka XMR – cüzdan adreslerini kontrol etmeyi ve bir hakimin sipariş edebileceği başka bir geri ödeme yapmayı ve onları kaybetmeyi kabul etmeyi kabul edecek.