ABD eğitim teknolojisi devi PowerSchool’da 28 Aralık’ta keşfedilen bir siber saldırı ve veri ihlali, on milyonlarca okul çocuğu ve öğretmenin özel verilerinin ifşa edilmesi tehdidini taşıyor.
PowerSchool, müşterilere ihlalin bir taşeron hesabının ele geçirilmesiyle bağlantılı olduğunu söyledi. TechCrunch, bu hafta, siber saldırıdan önce bilgisayarına şirket kimlik bilgilerini çalan kötü amaçlı yazılım bulaşmış bir PowerSchool yazılım mühendisinin dahil olduğu ayrı bir güvenlik olayını öğrendi.
PowerSchool’un bahsettiği taşeron ile TechCrunch’ın tanımladığı mühendisin aynı kişi olması pek olası değil. Mühendisin kimlik bilgilerinin çalınması, özel sermaye devi Bain Capital tarafından geçen yıl 5,6 milyar dolarlık bir anlaşmayla satın alınan PowerSchool’daki güvenlik uygulamaları hakkında daha fazla şüphe uyandırıyor.
Etkilenen okul bölgeleri öğrencilerini ve öğretmenlerini veri ihlali konusunda bilgilendirmeye başladığından, PowerSchool siber saldırısıyla ilgili yalnızca birkaç ayrıntıyı kamuya açıkladı. Şirketin web sitesinde, okul kayıtları yazılımının Kuzey Amerika’da 60 milyondan fazla öğrenciyi desteklemek için 18.000 okul tarafından kullanıldığı belirtiliyor.
Geçen hafta müşterileriyle paylaşılan ve TechCrunch tarafından görüntülenen bir iletişimde PowerSchool, isimsiz bilgisayar korsanlarının bazı öğrencilerin Sosyal Güvenlik numaraları, notları, demografik bilgileri ve tıbbi bilgileri de dahil olmak üzere öğrenciler ve öğretmenler hakkında “hassas kişisel bilgileri” çaldığını doğruladı. PowerSchool, siber saldırıdan kaç müşterinin etkilendiğini henüz söylemedi, ancak ihlalden etkilenen birçok okul bölgesi TechCrunch’a, günlüklerinin bilgisayar korsanlarının geçmiş öğrenci ve öğretmen verilerinin “tümü”nü çaldığını gösterdiğini söyledi.
Etkilenen bir okul bölgesinde çalışan bir kişi TechCrunch’a, ihlalde öğrencilerle ilgili son derece hassas bilgilerin sızdırıldığına dair kanıtları olduğunu söyledi. Kişi, yasaklama emirleri de dahil olmak üzere ebeveynlerin çocuklarına erişim haklarına ilişkin bilgiler ve belirli öğrencilerin ilaçlarını ne zaman almaları gerektiğine ilişkin bilgiler gibi örnekler verdi. Etkilenen okul bölgelerindeki diğer kişiler TechCrunch’a, çalınan verilerin her okulun PowerSchool sistemlerine ne eklediğine bağlı olacağını söyledi.
TechCrunch ile konuşan kaynaklara göre PowerSchool müşterilerine, bilgisayar korsanlarının PowerSchool’un teknik destek alt yüklenicisi ile ilişkili, güvenliği ihlal edilmiş tek bir bakım hesabını kullanarak şirketin sistemlerine sızdığını söyledi. Bu hafta başlatılan olay sayfasında PowerSchool, müşteri destek portallarından birinde yetkisiz erişimi tespit ettiğini söyledi.
PowerSchool sözcüsü Beth Keebler Cuma günü TechCrunch’a, alt yüklenicinin müşteri destek portalını ihlal etmek için kullandığı hesabının, hesapları parola hırsızlığıyla bağlantılı saldırılara karşı korumaya yardımcı olabilecek yaygın olarak kullanılan bir güvenlik özelliği olan çok faktörlü kimlik doğrulamayla korunmadığını doğruladı. PowerSchool, MFA’nın o zamandan beri kullanıma sunulduğunu söyledi.
PowerSchool, ihlali araştırmak için olay müdahale firması CrowdStrike ile birlikte çalışıyor ve bir raporun Cuma gününe kadar yayınlanması bekleniyor. E-postayla ulaşıldığında CrowdStrike, yorumu PowerSchool’a erteledi.
Keebler, TechCrunch’a şirketin raporlarımızın “doğruluğunu doğrulayamadığını” söyledi. Keebler, TechCrunch’a şunları söyledi: “CrowdStrike’ın ilk analizi ve bulguları, bu olayla veya herhangi bir kötü amaçlı yazılım, virüs veya arka kapıyla ilişkili sistem katmanı erişimine dair hiçbir kanıt göstermiyor.” PowerSchool, raporu CrowdStrike’dan alıp almadığını veya bulgularını kamuya açıklamayı planlayıp planlamadığını söylemedi.
PowerSchool, sızdırılan veriler üzerindeki incelemesinin devam ettiğini ve verileri etkilenen öğrenci ve öğretmen sayısına ilişkin bir tahmin sunmadığını söyledi.
Siber suç operasyonları konusunda bilgi sahibi bir kaynağa göre, PowerSchool için çalışan bir mühendisin bilgisayarından elde edilen kayıtlar, siber saldırıdan önce cihazlarının LummaC2 bilgi hırsızlığı yapan üretken kötü amaçlı yazılım tarafından saldırıya uğradığını gösteriyor.
Kötü amaçlı yazılımın tam olarak ne zaman yüklendiği belli değil. Kaynak, şifrelerin mühendisin bilgisayarından Ocak 2024’te veya daha önce çalındığını söyledi.
Bilgi hırsızları, özellikle çalışanların iş hesaplarına erişmek için kişisel cihazlarını kullanmalarına izin veren uzaktan ve hibrit çalışmanın yükselişiyle birlikte bilgisayar korsanlarının şirketlere sızması için giderek daha etkili bir yol haline geldi. Wired’ın açıkladığı gibi bu, kötü amaçlı yazılımın bilgi çalmak için birinin ev bilgisayarına yüklenmesine yönelik fırsatlar yaratıyor, ancak çalışanın aynı zamanda kendi çalışma sistemlerinde de oturum açmış olması nedeniyle yine de kurumsal erişime sahip kimlik bilgileri elde ediliyor.
TechCrunch tarafından görülen LummaC2 günlüklerinin önbelleği, mühendisin şifrelerini, iki web tarayıcısının tarama geçmişini ve mühendisin bilgisayarı hakkında tanımlanabilir ve teknik bilgiler içeren bir dosyayı içeriyor.
Çalınan kimlik bilgilerinden bazılarının PowerSchool’un dahili sistemleriyle ilişkili olduğu görülüyor.
Günlükler, kötü amaçlı yazılımın mühendisin kayıtlı şifrelerini ve tarama geçmişlerini Google Chrome ve Microsoft Edge tarayıcılarından çıkardığını gösteriyor. Kötü amaçlı yazılım daha sonra mühendisin çalınan kimlik bilgilerini de içeren günlük önbelleğini, kötü amaçlı yazılımın operatörü tarafından kontrol edilen sunuculara yükledi. Buradan kimlik bilgileri, kurumsal hesap parolalarının ve kimlik bilgilerinin siber suçlular arasında satıldığı ve ticaretinin yapıldığı kapalı siber suç odaklı Telegram grupları da dahil olmak üzere daha geniş bir çevrimiçi toplulukla paylaşıldı.
Kötü amaçlı yazılım günlükleri, mühendisin PowerSchool’un kaynak kodu depoları, Slack mesajlaşma platformu, hata ve sorun takibi için Jira örneği ve diğer dahili sistemler için şifrelerini içerir. Mühendisin göz atma geçmişi aynı zamanda PowerSchool’un Amazon Web Services’teki hesabına geniş erişime sahip olduklarını gösteriyor; buna şirketin AWS tarafından barındırılan S3 bulut depolama sunucularına tam erişim de dahil.
Yanlış bir şey yaptıklarına dair bir kanıt olmadığı için mühendisin adını vermiyoruz. Benzer durumlardaki ihlaller hakkında daha önce de belirttiğimiz gibi, çalışan kimlik bilgilerinin çalınmasından kaynaklanan izinsiz girişleri önleyen savunmaları uygulamak ve güvenlik politikalarını uygulamak nihai olarak şirketlerin sorumluluğundadır.
TechCrunch tarafından sorulduğunda PowerSchool’dan Keebler, ele geçirilen kimlik bilgileri PowerSchool sistemlerini ihlal etmek için kullanılan kişinin AWS’ye erişimi olmadığını ve Slack ve AWS dahil olmak üzere PowerSchool’un dahili sistemlerinin MFA ile korunduğunu söyledi.
Mühendisin bilgisayarı ayrıca TechCrunch’ın gördüğü diğer PowerSchool çalışanlarına ait çeşitli kimlik bilgilerini de saklıyordu. Kimlik bilgilerinin şirketin Slack’e, kaynak kodu depolarına ve diğer şirket içi sistemlerine benzer erişime izin verdiği görülüyor.
Günlüklerde gördüğümüz düzinelerce PowerSchool kimlik bilgilerinin çoğu kısa ve karmaşıktı; bazıları yalnızca birkaç harf ve rakamdan oluşuyordu. Have I Been Pwned’in güncellenen çalıntı şifreler listesine göre, PowerSchool tarafından kullanılan hesap şifrelerinin birçoğu, daha önceki veri ihlallerinde zaten ele geçirilmiş olan kimlik bilgileriyle eşleşiyordu.
TechCrunch, çalınan kullanıcı adlarını ve şifreleri herhangi bir PowerSchool sisteminde test etmedi çünkü bunu yapmak yasa dışı olurdu. Bu nedenle kimlik bilgilerinden herhangi birinin hâlâ aktif kullanımda olup olmadığı veya herhangi birinin MFA ile korunup korunmadığı belirlenemiyor.
PowerSchool, şifreleri görmeden yorum yapamayacağını söyledi. (TechCrunch, saldırıya uğrayan mühendisin kimliğini korumak için kimlik bilgilerini sakladı.) Şirket şunu söyledi: “şifre güvenliği için minimum uzunluk ve karmaşıklık gereklilikleri de dahil olmak üzere sağlam protokoller mevcut ve şifreler NIST tavsiyelerine uygun şekilde değiştiriliyor.” Şirket, ihlalin ardından PowerSchool’un, ihlal edilen müşteri destek portalına atıfta bulunarak “tüm PowerSource müşteri destek portalı hesapları için tam bir parola sıfırlama işlemi gerçekleştirdiğini ve parolayı ve erişim kontrolünü daha da sıkılaştırdığını” söyledi.
PowerSchool, hem çalışanlar hem de yükleniciler için tek oturum açma teknolojisi ve MFA kullandığını söyledi. Şirket, yüklenicilere dizüstü bilgisayarlar veya kötü amaçlı yazılımdan koruma ve şirketin sistemlerine bağlanmak için bir VPN gibi güvenlik kontrollerine sahip sanal masaüstü ortamına erişim sağlandığını söyledi.
Etkilenen okul bölgeleri, mevcut ve eski öğrencilerinden ve çalışanlarından kaç tanesinin ihlalde kişisel verilerinin çalındığını değerlendirmeye devam ederken, PowerSchool’un veri ihlali ve olayı daha sonra ele almasıyla ilgili sorular devam ediyor.
PowerSchool ihlalinden etkilenen okul bölgelerindeki personel TechCrunch’a, yöneticilerin veri hırsızlığı kanıtı için PowerSchool günlük dosyalarında arama yapmasına yardımcı olmak için diğer okul bölgelerinden ve müşterilerden gelen kitle kaynaklı çabalara güvendiklerini söyledi.
Yayınlandığı tarihte PowerSchool’un ihlale ilişkin belgelerine, şirketin web sitesinde müşteri girişi yapılmadan erişilemiyor.
Carly Page raporlamaya katkıda bulundu.
+1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden Zack Whittaker ile güvenli bir şekilde iletişime geçin; Carly Page ile +44 1536 853968 numaralı telefondan Signal üzerinden güvenli bir şekilde iletişime geçebilirsiniz. Ayrıca, SecureDrop aracılığıyla TechCrunch ile belgeleri güvenli bir şekilde paylaşabilirsiniz.
Kaynak: https://techcrunch.com/2025/01/17/malware-stole-internal-powerschool-passwords-from-engineers-hacked-computer/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası