تگزاس اقدام قانونی علیه PowerSchool به دلیل نقض امنیت داده‌ها آغاز کرد

Ken Paxton ، دادستان کل تگزاس، از شرکت نرم‌افزاری آموزشی PowerSchool به دلیل رخنه عظیم داده‌ای در دسامبر ۲۰۲۴ شکایت کرده است؛ رخنه‌ای که اطلاعات شخصی ۶۲ میلیون دانش‌آموز از جمله بیش از ۸۸۰ هزار دانش‌آموز تگزاسی را افشا کرد.

PowerSchool یک ارائه‌دهنده راهکارهای نرم‌افزاری cloud-based برای مدارس و مناطق آموزشی K-12 است که بیش از ۱۸ هزار مشتری داشته و از ۶۰ میلیون دانش‌آموز در سراسر جهان پشتیبانی می‌کند.

در ژانویه، این شرکت اعلام کرد که پورتال پشتیبانی مشتریان آن، PowerSource، در تاریخ ۱۹ دسامبر ۲۰۲۴ با استفاده از stolen credentials یک پیمانکار فرعی مورد نفوذ قرار گرفته است. مهاجم در تاریخ ۲۸ دسامبر ۲۰۲۴ با سرقت داده‌های حساس شامل نام کامل، آدرس فیزیکی، شماره تماس، گذرواژه‌ها، اطلاعات والدین، جزئیات تماس، شماره‌های Social Security و داده‌های پزشکی دانش‌آموزان و کارکنان، درخواست باج ۲.۸۵ میلیون دلار بیت‌کوین کرد.

بر اساس گزارش BleepingComputer، عامل تهدید مدعی شده که داده‌های شخصی ۶۲.۴ میلیون دانش‌آموز و ۹.۵ میلیون معلم از ۶,۵۰۵ منطقه آموزشی در ایالات متحده، کانادا و دیگر کشورها به سرقت برده است.

دفتر دادستان کل تگزاس اعلام کرد:

«قصور PowerSchool نقض قوانین Texas Deceptive Trade Practices Act و Identity Theft Enforcement and Protection Act است، زیرا این شرکت با معرفی نادرست شیوه‌های امنیتی خود، اقدام به گمراه‌سازی مشتریان کرده و از اتخاذ اقدامات معقول برای حفاظت از داده‌های حساس خانواده‌ها و مدارس تگزاس خودداری نموده است.»

کن پکستون در ادامه افزود:

«اگر Big Tech فکر می‌کند می‌تواند از داده‌های کودکان کسب سود کند و همزمان در امنیت کوتاهی داشته باشد، سخت در اشتباه است. والدین هرگز نباید نگران سرقت و سوءاستفاده از اطلاعاتی باشند که برای ثبت‌نام فرزندان خود در مدارس ارائه می‌دهند. دفتر من هر اقدامی را برای پاسخگو کردن PowerSchool در قبال به خطر انداختن دانش‌آموزان، معلمان و خانواده‌های تگزاس انجام خواهد داد.»

باج‌خواهی و محکومیت عامل حمله

PowerSchool در یک FAQ خصوصی که با مشتریان به اشتراک گذاشته شد، تأیید کرد که برای جلوگیری از افشای داده‌ها باجی پرداخت کرده و ویدئویی از مهاجم دریافت کرده که در آن مدعی پاک‌سازی داده‌ها شده بود.

با این حال، فردی که خود را ShinyHunters معرفی می‌کرد، از ماه می ۲۰۲۵ شروع به اخاذی مستقیم از مناطق آموزشی کرد و تهدید نمود داده‌های دانش‌آموزان و معلمان را در صورت عدم پرداخت باج افشا خواهد کرد. رهبر ShinyHunters به BleepingComputer گفت که این فرد یک affiliate بوده و به دروغ نام گروه را جعل کرده است؛ تلاش او برای اخاذی مجدد از PowerSchool بر اساس داده‌های سرقت‌شده از نفوذی دیگر در سپتامبر ۲۰۲۴ بوده که توسط CrowdStrike شناسایی شده بود.

در همان ماه، یک دانشجوی ۱۹ ساله به نام Matthew D. Lane از Worcester, Massachusetts به جرم سازماندهی این حمله سایبری گسترده علیه PowerSchool به همراه چند همدست و تلاش برای اخاذی میلیون‌ها دلار در ازای عدم افشای داده‌های سرقتی، گناهکار شناخته شد.

به گفته گزارش‌های مدارس و وب‌سایت DataBreaches.net، درخواست‌های باج ارسال‌شده به مناطق آموزشی با نام ShinyHunters مطرح شده بود؛ گروهی شناخته‌شده از threat actors که با نفوذهای متعدد، داده‌های صدها میلیون نفر را در سراسر جهان تحت تأثیر قرار داده است.

در مارس ۲۰۲۵، PowerSchool گزارشی از تحقیق CrowdStrike منتشر کرد که نشان داد مهاجمان در اوت و سپتامبر ۲۰۲۴ نیز با همان compromised credentials موفق به نفوذ به PowerSource شده بودند. با این حال، تیم امنیتی نتوانست شواهدی بیابد که نشان دهد تمامی این نفوذها توسط یک مهاجم انجام شده است.