Ένας 19χρονος χάκερ από το Worcester της Μασαχουσέτης παραδέχτηκε την ενοχή του για μια μαζική κυβερνοεπίθεση κατά του PowerSchool, μέσω της οποίας εκβίασε εκατομμύρια δολάρια με αντάλλαγμα να μη διαρρεύσει προσωπικά δεδομένα εκατομμυρίων μαθητών και εκπαιδευτικών.
Δείτε επίσης: Ο χάκερ της PowerSchool εκβιάζει τώρα κι άλλες σχολικές περιοχές
Σύμφωνα με το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών, ο Matthew D. Lane δήλωσε ένοχος για τέσσερις ομοσπονδιακές κατηγορίες: συνωμοσία για κυβερνοεκβιασμό, κυβερνοεκβιασμό, μη εξουσιοδοτημένη πρόσβαση σε προστατευμένους υπολογιστές και κλοπή ταυτότητας.
Το Υπουργείο Δικαιοσύνης και τα σχετικά δικαστικά έγγραφα αναφέρουν ότι ο Lane και οι συνεργοί του παραβίασαν το 2022 μια εταιρεία τηλεπικοινωνιών με έδρα τις ΗΠΑ, απ’ όπου υπέκλεψαν εμπιστευτικές πληροφορίες πελατών. Κατά τη διάρκεια της παραβίασης, οι χάκερ απέκτησαν επίσης πρόσβαση στα διαπιστευτήρια ενός εργαζομένου της εταιρείας, ο οποίος ήταν εργολάβος του PowerSchool.
Μετά την απόπειρα εκβιασμού της εταιρείας τηλεπικοινωνιών, το Υπουργείο Δικαιοσύνης αναφέρει ότι οι δράστες εξαπέλυσαν επίθεση σε μια εκπαιδευτική εταιρεία, η οποία τελικά κατέβαλε λύτρα. Αν και στην καταγγελία δεν κατονομάζεται ρητά το PowerSchool, πηγές του BleepingComputer αναφέρουν ότι αυτή είναι η εκπαιδευτική εταιρεία στην οποία αναφέρεται το Υπουργείο.
Σύμφωνα με την καταγγελία, ο δράστης χρησιμοποίησε τα διαπιστευτήρια που εκλάπησαν από τον εξωτερικό συνεργάτη της PowerSchool για να παραβιάσει τα συστήματα της εταιρείας και να υποκλέψει δεδομένα εκατομμυρίων μαθητών και εκπαιδευτικών τον Δεκέμβριο του 2024.
Δείτε ακόμα: Η PowerSchool ειδοποιεί τα θύματα για την παραβίαση δεδομένων
Οι χάκερ παραβίασαν την πλατφόρμα υποστήριξης του PowerSchool, γνωστή ως PowerSource, και χρησιμοποίησαν ένα εργαλείο συντήρησης για να κατεβάσουν τις βάσεις δεδομένων του οργανισμού. Οι βάσεις δεδομένων περιείχαν προσωπικές πληροφορίες για 62,4 εκατομμύρια μαθητές και 9,5 εκατομμύρια εκπαιδευτικούς από 6.505 σχολικές περιφέρειες στις Ηνωμένες Πολιτείες, τον Καναδά και άλλες χώρες.
Τα δεδομένα αυτά διέφεραν ανάλογα με την σχολική περιφέρεια και περιλάμβαναν πλήρη ονόματα μαθητών και προσωπικού, διευθύνσεις κατοικίας, αριθμούς τηλεφώνου, κωδικούς πρόσβασης, πληροφορίες γονέων και στοιχείων επικοινωνίας, αριθμούς κοινωνικής ασφάλισης, ιατρικά δεδομένα και βαθμολογίες.
Εκτός από την παραβίαση του PowerSchool, ο νεαρός χάκερ αντιμετωπίζει κατηγορίες και για την απόπειρα εκβιασμού της εταιρείας τηλεπικοινωνιών με έδρα τις ΗΠΑ, από την οποία ζήτησαν λύτρα ύψους 200.000 δολαρίων, απειλώντας μάλιστα στελέχη της εταιρείας σε περίπτωση μη καταβολής του ποσού.
Ο Lane έχει συμφωνήσει να δηλώσει ένοχος και για τις τέσσερις κατηγορίες και αντιμετωπίζει υποχρεωτική ελάχιστη ποινή δύο ετών για κλοπή ταυτότητας, καθώς και ποινές έως και πέντε ετών για καθεμία από τις υπόλοιπες κατηγορίες.
Δείτε επίσης: Κυβερνοεπίθεση στην PowerSchool εκθέτει προσωπικά δεδομένα
Βάσει των παραπάνω, η υπόθεση του Matthew Lane αναδεικνύει σοβαρά ζητήματα κυβερνοασφάλειας και την ευαλωτότητα κρίσιμων ψηφιακών υποδομών, όπως αυτές που χρησιμοποιούνται στην εκπαίδευση και στις τηλεπικοινωνίες. Η παραβίαση του PowerSchool – μιας από τις μεγαλύτερες εκπαιδευτικές πλατφόρμες στη Βόρεια Αμερική – δεν αποτελεί απλώς ένα έγκλημα οικονομικού χαρακτήρα, αλλά μια απειλή για την ιδιωτικότητα και την ασφάλεια εκατομμυρίων παιδιών, οικογενειών και εκπαιδευτικών.
Πηγή: bleepingcomputer
