Kenkėjiška programa pavogė vidinius „PowerSchool“ slaptažodžius iš inžinieriaus įsilaužto kompiuterio
admin 
Kibernetinė ataka ir duomenų pažeidimas JAV technologijų milžinėje PowerSchool, kuris buvo aptiktas gruodžio 28 d., gali atskleisti dešimčių milijonų moksleivių ir mokytojų asmeninius duomenis.
„PowerSchool“ klientams pasakė, kad pažeidimas buvo susijęs su subrangovo paskyros pažeidimu. Šią savaitę „TechCrunch“ sužinojo apie atskirą saugumo incidentą, susijusį su „PowerSchool“ programinės įrangos inžinieriumi, kurio kompiuteris buvo užkrėstas kenkėjiška programa, kuri pavogė jų įmonės kredencialus prieš kibernetinę ataką.
Mažai tikėtina, kad „PowerSchool“ minimas subrangovas ir „TechCrunch“ nurodytas inžinierius yra tas pats asmuo. Inžinieriaus įgaliojimų vagystė kelia dar daugiau abejonių dėl saugumo praktikos PowerSchool, kurią pernai įsigijo privataus kapitalo milžinė Bain Capital sudarant 5,6 mlrd. USD sandorį.
„PowerSchool“ viešai pasidalijo tik keliomis detalėmis apie savo kibernetinę ataką, nes paveikti mokyklų rajonai pradeda pranešti savo mokiniams ir mokytojams apie duomenų pažeidimą. Bendrovės svetainėje rašoma, kad jos mokyklų įrašų programinę įrangą naudoja 18 000 mokyklų, kad padėtų daugiau nei 60 milijonų studentų visoje Šiaurės Amerikoje.
Praėjusią savaitę su klientais pasidalintame pranešime, kurį peržiūrėjo „TechCrunch“, „PowerSchool“ patvirtino, kad neįvardijami įsilaužėliai pavogė „jautrią asmeninę informaciją“ apie mokinius ir mokytojus, įskaitant kai kurių mokinių socialinio draudimo numerius, pažymius, demografinius duomenis ir medicininę informaciją. „PowerSchool“ dar nepasakė, kiek klientų nukentėjo nuo kibernetinės atakos, tačiau keli mokyklų rajonai, kuriuos paveikė pažeidimas, „TechCrunch“ pranešė, kad jų žurnalai rodo, kad įsilaužėliai pavogė „visus“ jų istorinius mokinių ir mokytojų duomenis.
Vienas asmuo, dirbantis paveiktame mokyklos rajone, „TechCrunch“ pasakė, kad turi įrodymų, kad pažeidimo metu buvo išfiltruota labai jautri informacija apie mokinius. Asmuo pateikė pavyzdžių, pavyzdžiui, informaciją apie tėvų teises susipažinti su savo vaikais, įskaitant suvaržymus, ir informaciją apie tai, kada tam tikriems mokiniams reikia vartoti vaistus. Kiti paveiktų mokyklų rajonų žmonės „TechCrunch“ sakė, kad pavogti duomenys priklausys nuo to, ką kiekviena mokykla pridėjo prie savo „PowerSchool“ sistemų.
Pasak šaltinių, kalbėjusių su „TechCrunch“, „PowerSchool“ savo klientams pasakė, kad įsilaužėliai įsilaužė į bendrovės sistemas naudodami vieną pažeistą priežiūros paskyrą, susietą su „PowerSchool“ techninės pagalbos subrangovu. Savo incidento puslapyje, kuris buvo paleistas šią savaitę, „PowerSchool“ nurodė, kad nustatė neteisėtą prieigą viename iš savo klientų aptarnavimo portalų.
„PowerSchool“ atstovė spaudai Beth Keebler penktadienį „TechCrunch“ patvirtino, kad subrangovo paskyra, naudojama siekiant pažeisti klientų aptarnavimo portalą, nebuvo apsaugota naudojant kelių veiksnių autentifikavimą – plačiai naudojamą saugos funkciją, kuri gali padėti apsaugoti paskyras nuo įsilaužimų, susijusių su slaptažodžio vagyste. „PowerSchool“ teigė, kad MFA nuo to laiko buvo įdiegta.
„PowerSchool“ bendradarbiauja su reagavimo į incidentus įmone „CrowdStrike“, kad ištirtų pažeidimą, ir tikimasi, kad ataskaita bus paskelbta jau penktadienį. Pasiekta el. paštu, „CrowdStrike“ atidėjo komentavimą „PowerSchool“.
Keebleris sakė „TechCrunch“, kad bendrovė „negali patikrinti mūsų ataskaitų tikslumo“. „Pradinė „CrowdStrike“ analizė ir išvados nerodo jokių su šiuo incidentu susijusios prieigos sistemos lygmens įrodymų, nei kenkėjiškų programų, virusų ar užpakalinių durų“, – „TechCrunch“ sakė Keebleris. „PowerSchool“ nesakys, ar gavo „CrowdStrike“ ataskaitą, taip pat nesakys, ar planuoja viešai paskelbti savo išvadas.
„PowerSchool“ teigė, kad jos išfiltruotų duomenų peržiūra tebevyksta ir nepateikė įvertinimo, kiek mokinių ir mokytojų buvo paveikti.
„PowerSchool“ slaptažodžiai, pavogti kenkėjiškų programų
Pasak šaltinio, žinančio apie kibernetines nusikalstamas operacijas, žurnalai, gauti iš PowerSchool dirbančio inžinieriaus kompiuterio, rodo, kad prieš kibernetinę ataką jų įrenginį įsilaužė gausi LummaC2 informacijos vagystė.
Tiksliai neaišku, kada kenkėjiška programa buvo įdiegta. Šaltinis teigė, kad slaptažodžiai buvo pavogti iš inžinieriaus kompiuterio 2024 metų sausį ar anksčiau.
„Infostealers“ tapo vis veiksmingesniu būdu įsilaužėliams įsilaužti į įmones, ypač didėjant nuotoliniam ir mišriam darbui, dėl kurio darbuotojai dažnai gali naudotis savo asmeniniais įrenginiais, kad pasiektų darbo paskyras. Kaip paaiškina „Wired“, tai sukuria galimybes informacijos vagystei kenkėjiškoms programoms įdiegti kieno nors namų kompiuteryje, tačiau vis tiek gaunami kredencialai, galintys pasiekti įmonės prieigą, nes darbuotojas taip pat buvo prisijungęs prie savo darbo sistemų.
„TechCrunch“ matoma „LummaC2“ žurnalų talpykla apima inžinieriaus slaptažodžius, naršymo istoriją iš dviejų jų žiniatinklio naršyklių ir failą, kuriame yra identifikuojama ir techninė informacija apie inžinieriaus kompiuterį.
Atrodo, kad kai kurie pavogti kredencialai yra susiję su „PowerSchool“ vidinėmis sistemomis.
Žurnalai rodo, kad kenkėjiška programa ištraukė inžinieriaus išsaugotus slaptažodžius ir naršymo istorijas iš „Google Chrome“ ir „Microsoft Edge“ naršyklių. Tada kenkėjiška programa įkėlė žurnalų talpyklą, įskaitant pavogtus inžinieriaus kredencialus, į serverius, kuriuos valdo kenkėjiškos programos operatorius. Iš ten kredencialais buvo dalijamasi su platesne internetine bendruomene, įskaitant uždaras elektroninių nusikaltimų telegramų grupes, kuriose įmonių paskyrų slaptažodžiai ir kredencialai parduodami ir jais prekiaujama tarp kibernetinių nusikaltėlių.
Kenkėjiškų programų žurnaluose yra „PowerSchool“ šaltinio kodo saugyklų, „Slack“ pranešimų platformos, „Jira“ egzemplioriaus, skirto klaidų ir problemų sekimui, ir kitų vidinių sistemų inžinieriaus slaptažodžiai. Inžinieriaus naršymo istorija taip pat rodo, kad jie turėjo plačią prieigą prie „PowerSchool“ paskyros „Amazon Web Services“, kuri apėmė visišką prieigą prie bendrovės AWS priglobtų S3 debesies saugyklos serverių.
Inžinieriaus neįvardijame, nes nėra įrodymų, kad jie padarė ką nors blogo. Kaip jau minėjome apie pažeidimus panašiomis aplinkybėmis, galiausiai įmonės yra atsakingos už apsaugos priemonių įgyvendinimą ir saugumo politikos vykdymą, užkertančią kelią įsibrovimams dėl darbuotojų įgaliojimų vagystės.
„TechCrunch“ paklaustas „PowerSchool“ Keebleris teigė, kad asmuo, kurio pažeisti kredencialai buvo panaudoti „PowerSchool“ sistemoms pažeisti, neturėjo prieigos prie AWS, o „PowerSchool“ vidinės sistemos, įskaitant „Slack“ ir „AWS“, yra apsaugotos MFA.
Inžinieriaus kompiuteryje taip pat buvo saugomi keli kredencialų rinkiniai, priklausantys kitiems „PowerSchool“ darbuotojams, kuriuos „TechCrunch“ matė. Atrodo, kad kredencialai suteikia panašią prieigą prie įmonės „Slack“, šaltinio kodo saugyklų ir kitų vidinių įmonės sistemų.
Iš dešimčių „PowerSchool“ kredencialų, kuriuos matėme žurnaluose, daugelis buvo trumpi ir paprasto sudėtingumo, o kai kurie sudaryti tik iš kelių raidžių ir skaičių. Remiantis Have I Been Pwned atnaujinamu pavogtų slaptažodžių sąrašu, keli „PowerSchool“ naudojami paskyros slaptažodžiai atitiko kredencialus, kurie jau buvo pažeisti per ankstesnius duomenų pažeidimus.
„TechCrunch“ netikrino pavogtų naudotojų vardų ir slaptažodžių jokiose „PowerSchool“ sistemose, nes tai būtų neteisėta. Todėl negalima nustatyti, ar kuris nors iš kredencialų vis dar aktyviai naudojamas, ar jie buvo apsaugoti MFA.
„PowerSchool“ teigė, kad negali komentuoti slaptažodžių jų nematęs. („TechCrunch“ nuslėpė kredencialus, kad apsaugotų įsilaužusio inžinieriaus tapatybę.) Bendrovė pranešė, kad turi „tvirtus slaptažodžių saugumo protokolus, įskaitant minimalaus ilgio ir sudėtingumo reikalavimus, o slaptažodžiai pasukami pagal NIST rekomendacijas“. Bendrovė teigė, kad po pažeidimo „PowerSchool“ „atliko visišką slaptažodžio atstatymą ir dar labiau sugriežtino visų PowerSource klientų aptarnavimo portalo paskyrų slaptažodžius ir prieigos kontrolę“, turėdama omenyje klientų aptarnavimo portalą, kuris buvo pažeistas.
„PowerSchool“ teigė, kad ji naudoja vieno prisijungimo technologiją ir MFA tiek darbuotojams, tiek rangovams. Bendrovė teigė, kad rangovams suteikiami nešiojamieji kompiuteriai arba prieiga prie jos virtualios darbalaukio aplinkos, turinčios saugumo kontrolę, pvz., apsaugą nuo kenkėjiškų programų ir VPN, skirtą prisijungti prie bendrovės sistemų.
Kyla klausimų dėl „PowerSchool“ duomenų pažeidimo ir vėlesnio incidento tvarkymo, nes paveikti mokyklų rajonai ir toliau vertina, kiek iš jų esamų ir buvusių mokinių ir darbuotojų buvo pavogti asmens duomenys pažeidimo metu.
„PowerSchool“ pažeidimo paveiktų mokyklų apygardų darbuotojai „TechCrunch“ sako, kad jie pasikliauja kitų mokyklų rajonų ir klientų pastangomis, kurios padeda administratoriams ieškoti duomenų vagystės įrodymų jų „PowerSchool“ žurnalo failuose.
Paskelbimo metu „PowerSchool“ dokumentai apie pažeidimą negali būti pasiekiami be kliento prisijungimo prie įmonės svetainės.
Carly Page prisidėjo prie pranešimų.
Saugiai susisiekite su Zacku Whittakeriu „Signal“ ir „WhatsApp“ telefonu +1 646-755-8849, o su Carly Page galite saugiai susisiekti su „Signal“ numeriu +44 1536 853968. Taip pat galite saugiai bendrinti dokumentus naudodami „TechCrunch“ naudodami „SecureDrop“.
