Một cuộc tấn công mạng và vi phạm dữ liệu tại tập đoàn công nghệ giáo dục lớn PowerSchool của Mỹ, được phát hiện vào ngày 28 tháng 12, đang đe dọa tiết lộ dữ liệu riêng tư của hàng chục triệu học sinh và giáo viên.
PowerSchool thông báo với khách hàng rằng việc xâm nhập xâm nhập này liên quan đến việc xâm nhập vào tài khoản của một nhà thầu phụ. TechCrunch đã biết tuần này về một sự kiện bảo mật riêng, liên quan đến một kỹ sư phần mềm của PowerSchool, máy tính của họ đã bị nhiễm phần mềm độc hại đã đánh cắp thông tin đăng nhập của công ty trước khi xảy ra cuộc tấn công mạng.
Không có khả năng nhà thầu phụ được nhắc đến bởi PowerSchool và kỹ sư được xác định bởi TechCrunch là cùng một người. Việc đánh cắp thông tin đăng nhập của kỹ sư đã đặt ra thêm nghi ngờ về các thực tiễn bảo mật tại PowerSchool, công ty đã được tập đoàn vốn mạo hiểm Bain Capital mua lại vào năm ngoái với một thỏa thuận 5,6 tỷ đô la.
PowerSchool chỉ chia sẻ một số chi tiết công khai về cuộc tấn công mạng của mình, khi các học khu bị ảnh hưởng bắt đầu thông báo cho học sinh và giáo viên của họ về việc xâm nhập dữ liệu. Trên trang web của công ty, đưa ra rằng phần mềm ghi chép của trường được sử dụng bởi 18.000 trường học để hỗ trợ hơn 60 triệu học sinh trên khắp Bắc Mỹ.
Trong một thông báo được chia sẻ với khách hàng của mình vào tuần trước và được xem bởi TechCrunch, PowerSchool xác nhận các hacker không tên đã đánh cắp 'thông tin cá nhân nhạy cảm' của học sinh và giáo viên, bao gồm một số số SSN của học sinh, điểm số, dân số và thông tin y tế. PowerSchool chưa nói ra số lượng khách hàng bị ảnh hưởng bởi cuộc tấn công mạng, nhưng một số học khu bị ảnh hưởng bởi cuộc xâm nhập đã nói với TechCrunch rằng các hacker đã đánh cắp 'tất cả' dữ liệu học sinh và giáo viên lịch sử của họ.
Một người làm việc tại một học khu bị ảnh hưởng cho biết với TechCrunch rằng họ có bằng chứng cho thấy thông tin rất nhạy cảm về học sinh đã được trích xuất trong cuộc xâm nhập. Người đó đưa ra ví dụ, chẳng hạn như thông tin về quyền truy cập của cha mẹ đến con của họ, bao gồm lệnh cấm và thông tin về việc mà một số học sinh cần phải uống thuốc của mình. Những người khác tại các học khu bị ảnh hưởng đã nói với TechCrunch rằng dữ liệu bị đánh cắp sẽ phụ thuộc vào những gì mỗi trường học cụ thể đã thêm vào hệ thống PowerSchool của họ.
Theo các nguồn nói chuyện với TechCrunch, PowerSchool cho biết với khách hàng của mình rằng các hacker đã đột nhập vào hệ thống của công ty bằng cách sử dụng một tài khoản bảo trì đã bị chiếm quyền liên quan đến một nhà thầu hỗ trợ kỹ thuật cho PowerSchool. Trên trang sự cố của mình được ra mắt tuần này, PowerSchool cho biết họ đã xác định sự truy cập trái phép vào một trong các cổng hỗ trợ khách hàng của họ.
Người phát ngôn của PowerSchool, Beth Keebler, đã xác nhận với TechCrunch vào thứ Sáu rằng tài khoản của nhà thầu phụ được sử dụng để đột nhập vào cổng hỗ trợ khách hàng không được bảo vệ bằng xác thực đa yếu tố, một tính năng bảo mật phổ biến có thể giúp bảo vệ các tài khoản khỏi các cuộc tấn công liên quan đến việc đánh cắp mật khẩu. PowerSchool nói rằng MFA đã được triển khai từ đó.
PowerSchool đang hợp tác với công ty phản ứng sự cố CrowdStrike để điều tra vụ việc và một báo cáo dự kiến sẽ được phát hành ngay vào thứ Sáu. Khi được liên hệ qua email, CrowdStrike đã từ chối bình luận và chuyển hướng cho PowerSchool.
Keebler cho biết rằng công ty 'không thể xác nhận độ chính xác' của báo cáo của chúng tôi. 'Phân tích và kết luận ban đầu từ CrowdStrike không có bất kỳ bằng chứng nào về truy cập tầng hệ thống liên quan đến sự cố này cũng như bất kỳ phần mềm độc hại, virus hoặc lối vào sau', Keebler cho biết. PowerSchool không nói xem họ đã nhận được báo cáo từ CrowdStrike, cũng không nói liệu họ có kế hoạch phát hành công bố kết quả của mình.
PowerSchool cho biết việc xem xét về dữ liệu được trích xuất đang tiếp tục và không cung cấp ước lượng về số lượng học sinh và giáo viên mà dữ liệu của họ bị ảnh hưởng.
Mật Khẩu PowerSchool bị Đánh Cắp bởi Phần Mềm Độc Hại
Theo một nguồn có kiến thức về hoạt động tội phạm mạng, logs được thu thập từ máy tính của một kỹ sư làm việc cho PowerSchool cho thấy thiết bị của họ đã bị hack bởi phần mềm đánh cắp thông tin LummaC2 nổi tiếng trước khi xảy ra cuộc tấn công mạng.
Không rõ chính xác khi nào phần mềm độc hại đã được cài đặt. Nguồn thông tin cho biết rằng các mật khẩu đã bị đánh cắp từ máy tính của kỹ sư vào tháng 1 năm 2024 hoặc trước đó.
Các phần mềm đánh cắp thông tin ngày càng trở thành một hướng đi hiệu quả cho những hacker đột nhập vào các công ty, đặc biệt là với sự bùng nổ của công việc từ xa và kết hợp, thường cho phép nhân viên sử dụng các thiết bị cá nhân của họ để truy cập vào tài khoản công việc. Như Wired giải thích, điều này tạo ra cơ hội cho phần mềm đánh cắp thông tin để cài đặt trên máy tính nhà của một người nào đó nhưng vẫn có thể nhận mật khẩu có khả năng truy cập vào công ty vì nhân viên cũng đã đăng nhập vào hệ thống công việc của họ.
Các logs của LummaC2, được TechCrunch nhìn thấy, bao gồm các mật khẩu của kỹ sư, lịch sử duyệt web từ hai trình duyệt web của họ và một tệp chứa thông tin nhận biết và kỹ thuật về máy tính của kỹ sư.
Một số mật khẩu bị đánh cắp dường như liên quan đến các hệ thống nội bộ của PowerSchool.
Các logs cho thấy rằng phần mềm độc hại đã trích xuất các mật khẩu được lưu trữ của kỹ sư và lịch sử duyệt web từ trình duyệt Google Chrome và Microsoft Edge của họ. Phần mềm độc hại sau đó đã tải lên cache của logs, bao gồm các thông tin đăng nhập đã bị đánh cắp của kỹ sư, lên các máy chủ do người vận hành phần mềm độc hại kiểm soát. Từ đó, các thông tin đăng nhập được chia sẻ với một cộng đồng trực tuyến lớn hơn, bao gồm các nhóm Telegram tập trung vào tội phạm mạng, nơi mà mật khẩu và thông tin đăng nhập của các tài khoản công ty được bán và trao đổi giữa các tội phạm mạng.
Các logs của phần mềm độc hại chứa các mật khẩu của kỹ sư cho các kho mã nguồn của PowerSchool, nền tảng nhắn tin Slack của công ty, phiên bản Jira của công ty để theo dõi lỗi và vấn đề và các hệ thống nội bộ khác. Lịch sử duyệt web của kỹ sư cũng cho thấy họ có quyền truy cập rộng rãi vào tài khoản PowerSchool trên Amazon Web Services, bao gồm quyền truy cập đầy đủ vào các máy chủ lưu trữ đám mây S3 của công ty trên AWS.
Chúng tôi không đặt tên của kỹ sư, vì không có bằng chứng cho thấy họ đã làm sai điều gì. Như chúng tôi đã nhấn mạnh trước đó về các vi phạm trong các hoàn cảnh tương tự, cuối cùng là trách nhiệm của các công ty để triển khai các phòng thủ và thi hành các chính sách bảo mật để ngăn chặn xâm nhập do việc đánh cắp thông tin đăng nhập của nhân viên.
Khi được hỏi bởi TechCrunch, Keebler của PowerSchool cho biết người mà thông tin đăng nhập của họ đã bị chiếm quyền để xâm nhập vào hệ thống của PowerSchool không có quyền truy cập vào AWS và rằng các hệ thống nội bộ của PowerSchool - bao gồm Slack và AWS - đều được bảo vệ bằng MFA.
Máy tính của kỹ sư cũng lưu trữ một số bộ mã đăng nhập thuộc về những nhân viên khác của PowerSchool, mà TechCrunch đã nhìn thấy. Các bộ mã đăng nhập có vẻ cho phép truy cập tương tự vào Slack của công ty, kho mã nguồn và các hệ thống nội bộ khác của công ty.
Trong số hàng chục mật khẩu PowerSchool mà chúng tôi đã xem trong logs, nhiều mật khẩu ngắn và cơ bản về độ phức tạp, với một số chỉ gồm vài chữ cái và số. Một số trong số các mật khẩu tài khoản sử dụng bởi PowerSchool khớp với các thông tin đăng nhập đã bị đánh cắp trước đó theo danh sách cập nhật của Have I Been Pwned về các mật khẩu bị đánh cắp.
TechCrunch không kiểm tra các tên người dùng và mật khẩu bị đánh cắp trên bất kỳ hệ thống PowerSchool nào, vì việc làm đó sẽ là không hợp pháp. Do đó, không thể xác định liệu các thông tin đăng nhập có còn đang sử dụng hoặc có bảo vệ bằng MFA hay không.
PowerSchool cho biết họ không thể bình luận về các mật khẩu mà không xem xét chúng. (TechCrunch đã giữ lại các thông tin đăng nhập để bảo vệ danh tính của kỹ sư bị hack.) Công ty cho biết họ có 'các giao thức mạnh mẽ cho bảo mật mật khẩu, bao gồm yêu cầu độ dài và độ phức tạp tối thiểu, và các mật khẩu được thay đổi phù hợp với các khuyến nghị của NIST.' Công ty nói rằng sau vụ việc xâm nhập, PowerSchool đã 'tiến hành thiết lập lại toàn bộ mật khẩu và cộng thêm việc kiểm soát mật khẩu và truy cập cho tất cả các tài khoản cổng hỗ trợ khách hàng PowerSource,' đề cập đến cổng hỗ trợ khách hàng đã bị xâm nhập.
PowerSchool cho biết họ sử dụng công nghệ đăng nhập duy nhất và MFA cho cả nhân viên và nhà thầu. Công ty cho biết các nhà thầu được cung cấp máy tính xách tay hoặc truy cập vào môi trường máy tính để bàn ảo của họ có các điều kiện bảo mật, chẳng hạn như phần mềm chống phần mềm độc hại và một VPN để kết nối với các hệ thống của công ty.
Còn nhiều câu hỏi về sự việc xâm nhập dữ liệu của PowerSchool và xử lý sau vụ việc, khi các học khu bị ảnh hưởng vẫn đang đánh giá bao nhiêu học sinh và nhân viên hiện tại và cũ đã có dữ liệu cá nhân bị đánh cắp trong cuộc xâm nhập.
Cán bộ tại các học khu bị ảnh hưở
