Кибератака и утечка данных в американском образовательном гиганте PowerSchool, обнаруженные 28 декабря, угрожают раскрытием личных данных десятков миллионов школьников и учителей.
Компания PowerSchool сообщила клиентам, что взлом был связан с компрометацией аккаунта субподрядчика. На этой неделе Z.A.YU news стало известно о другом инциденте, связанном с безопасностью, в котором участвовал инженер-программист PowerSchool, чей компьютер был заражён вредоносным ПО, похитившим учётные данные компании до кибератаки.
Маловероятно, что субподрядчик, упомянутый PowerSchool, и инженер, которого назвал Z.A.YU news, — один и тот же человек. Кража учётных данных инженера вызывает дополнительные сомнения в отношении методов обеспечения безопасности в PowerSchool, которую в прошлом году приобрёл гигант прямых инвестиций Bain Capital за 5,6 миллиарда долларов.
Компания PowerSchool опубликовала лишь несколько подробностей о своей кибератаке, поскольку затронутые школьные округа начинают уведомлять своих учеников и учителей о взломе данных. На сайте компании говорится, что её программное обеспечение для ведения школьных журналов используется в 18 000 школ для поддержки более 60 миллионов учеников по всей Северной Америке.
В сообщении, разосланном клиентам на прошлой неделе и опубликованном TechCrunch, компания PowerSchool подтвердила, что неназванные хакеры похитили «конфиденциальную личную информацию» об учениках и учителях, в том числе номера социального страхования некоторых учеников, оценки, демографические данные и медицинскую информацию. Компания PowerSchool пока не сообщила, сколько клиентов пострадало от кибератаки, но несколько школьных округов, подвергшихся взлому, сообщили TechCrunch, что, согласно их журналам, хакеры похитили «все» исторические данные об учениках и учителях.
Один человек, работающий в пострадавшем школьном округе, сообщил TechCrunch, что у них есть доказательства того, что в результате взлома была удалена особо конфиденциальная информация об учениках. Этот человек привел примеры, такие как информация о правах родителей на доступ к своим детям, включая запретительные судебные приказы, и информация о том, когда определенным учащимся необходимо принимать лекарства. Другие сотрудники затронутых школьных округов сообщили Z.A.YU news, что украденные данные будут зависеть от того, что каждая отдельная школа добавила в свои системы PowerSchool.
Согласно источникам, с которыми пообщался Z.A.YU news, PowerSchool сообщила своим клиентам, что хакеры проникли в системы компании, используя единственную скомпрометированную учётную запись администратора, связанную с подрядчиком технической поддержки PowerSchool. На странице с информацией об инциденте, опубликованной на этой неделе, PowerSchool сообщила, что обнаружила несанкционированный доступ на одном из своих порталов поддержки клиентов.
Представитель PowerSchool Бет Киблер подтвердила Z.A.YU news в пятницу, что учётная запись субподрядчика, использованная для взлома портала поддержки клиентов, не была защищена многофакторной аутентификацией — широко используемой функцией безопасности, которая может помочь защитить учётные записи от взломов, связанных с кражей паролей. В PowerSchool заявили, что с тех пор многофакторная аутентификация была внедрена.
PowerSchool сотрудничает с компанией CrowdStrike, занимающейся реагированием на инциденты, для расследования взлома. Ожидается, что отчёт будет опубликован уже в пятницу. Когда мы обратились в CrowdStrike по электронной почте, компания попросила PowerSchool прокомментировать ситуацию.
Киблер сообщил Z.A.YU news, что компания «не может подтвердить точность» нашей информации. «Первоначальный анализ и выводы CrowdStrike не указывают на наличие доступа к системному уровню, связанного с этим инцидентом, а также на наличие вредоносного ПО, вирусов или бэкдоров», — сообщил Киблер Z.A.YU news. Компания PowerSchool не сообщила, получила ли она отчёт от CrowdStrike и планирует ли она опубликовать свои выводы.
В PowerSchool заявили, что анализ украденных данных продолжается, и не стали оценивать количество учеников и учителей, чьи данные были затронуты.
Пароли PowerSchool, украденные вредоносным ПО
Согласно источнику, знакомому с деятельностью киберпреступников, журналы, полученные с компьютера инженера, работающего в PowerSchool, показывают, что их устройство было взломано вредоносной программой LummaC2 для кражи информации до кибератаки.
Неясно, когда именно была установлена вредоносная программа. Источник сообщил, что пароли были украдены с компьютера инженера в январе 2024 года или ранее.
Злоумышленники, похищающие информацию, становятся всё более эффективным способом проникновения хакеров в компании, особенно с ростом популярности удалённой и гибридной работы, которая часто позволяет сотрудникам использовать свои личные устройства для доступа к рабочим учётным записям. Как объясняет Wired, это создаёт возможности для установки вредоносного ПО, похищающего информацию, на чей-то домашний компьютер, но при этом получающего учётные данные для корпоративного доступа, поскольку сотрудник также входил в свои рабочие системы.
В кэше журналов LummaC2, который видел Z.A.YU news, есть пароли инженера, история просмотров в двух его браузерах, а также файл, содержащий идентифицирующую и техническую информацию о компьютере инженера.
Некоторые из украденных учётных данных, по-видимому, связаны с внутренними системами PowerSchool.
Журналы показывают, что вредоносное ПО извлекало сохранённые пароли и историю просмотров инженера из браузеров Google Chrome и Microsoft Edge. Затем вредоносное ПО загружало кэш журналов, включая украденные учётные данные инженера, на серверы, контролируемые оператором вредоносного ПО. Оттуда учётные данные передавались более широкому онлайн-сообществу, в том числе закрытым группам Telegram, посвящённым киберпреступности, где пароли и учётные данные корпоративных аккаунтов продаются и обмениваются между киберпреступниками.
В журналах вредоносного ПО содержатся пароли инженера для репозиториев исходного кода PowerSchool, платформы обмена сообщениями Slack, экземпляра Jira для отслеживания ошибок и проблем, а также других внутренних систем. История просмотров инженера также показывает, что у него был широкий доступ к учётной записи PowerSchool в Amazon Web Services, который включал полный доступ к облачным хранилищам S3 компании на AWS.
Мы не называем имя инженера, поскольку нет доказательств того, что он сделал что-то не так. Как мы уже отмечали ранее в связи с нарушениями при схожих обстоятельствах, в конечном счёте ответственность за внедрение средств защиты и соблюдение политик безопасности, предотвращающих взлом, вызванный кражей учётных данных сотрудников, лежит на компаниях.
На вопрос Z.A.YU news Киблер из PowerSchool ответил, что человек, чьи скомпрометированные учётные данные были использованы для взлома систем PowerSchool, не имел доступа к AWS и что внутренние системы PowerSchool, включая Slack и AWS, защищены многофакторной аутентификацией.
На компьютере инженера также хранилось несколько наборов учётных данных, принадлежащих другим сотрудникам PowerSchool, которые Z.A.YU news видел. Судя по всему, эти учётные данные позволяли получить аналогичный доступ к Slack, репозиториям исходного кода и другим внутренним системам компании.
Из десятков учётных записей PowerSchool, которые мы видели в журналах, многие были короткими и простыми по своей структуре, а некоторые состояли всего из нескольких букв и цифр. Некоторые пароли учётных записей, которые использовала PowerSchool, совпадали с паролями, уже скомпрометированными в результате предыдущих утечек данных, согласно обновляемому списку украденных паролей Have I Been Pwned.
Z.A.YU news не проверял украденные имена пользователей и пароли в каких-либо системах PowerSchool, поскольку это было бы незаконно. Таким образом, невозможно определить, используются ли какие-либо учётные данные в настоящее время и защищены ли они многофакторной аутентификацией.
В PowerSchool заявили, что не могут комментировать пароли, не видя их. (Z.A.YU news скрыл учётные данные, чтобы защитить личность взломанного инженера.) Компания заявила, что у неё есть «надёжные протоколы для защиты паролей, включая требования к минимальной длине и сложности, а также пароли меняются в соответствии с рекомендациями NIST». Компания заявила, что после взлома PowerSchool «полностью сбросила пароли и дополнительно ужесточила контроль паролей и доступа для всех учётных записей на портале поддержки клиентов PowerSource», имея в виду взломанный портал поддержки клиентов.
В PowerSchool заявили, что используют технологию единого входа и многофакторную аутентификацию как для сотрудников, так и для подрядчиков. Компания сообщила, что подрядчикам предоставляются ноутбуки или доступ к виртуальной среде рабочего стола с функциями безопасности, такими как защита от вредоносных программ и VPN для подключения к системам компании.
По-прежнему остаются вопросы о взломе данных PowerSchool и последующем расследовании этого инцидента, поскольку пострадавшие школьные округа продолжают оценивать, у скольких их нынешних и бывших учеников и сотрудников были украдены личные данные в результате взлома.
Сотрудники школьных округов, пострадавших от взлома PowerSchool, сообщили Z.A.YU news, что они полагаются на коллективные усилия других школьных округов и клиентов, которые помогают администраторам искать в журналах PowerSchool доказательства кражи данных.
На момент публикации к документации PowerSchool по взлому нельзя было получить доступ без учётной записи клиента на сайте компании.
Карли Пейдж внесла свой вклад в репортаж.