Serangan siber dan pelanggaran data pada raksasa teknologi pendidikan AS, PowerSchool, yang ditemukan pada tanggal 28 Desember mengancam akan mengungkap data pribadi puluhan juta anak sekolah dan guru.
PowerSchool mengatakan kepada pelanggan bahwa pelanggaran tersebut terkait dengan penyusupan akun subkontraktor. TechCrunch mengetahui minggu ini tentang insiden keamanan terpisah, yang melibatkan insinyur perangkat lunak PowerSchool, yang komputernya terinfeksi malware yang mencuri kredensial perusahaan mereka sebelum serangan siber terjadi.
Kemungkinan besar subkontraktor yang disebutkan oleh PowerSchool dan insinyur yang diidentifikasi oleh TechCrunch adalah orang yang sama. Pencurian kredensial insinyur tersebut menimbulkan keraguan lebih lanjut tentang praktik keamanan di PowerSchool, yang diakuisisi oleh raksasa ekuitas swasta Bain Capital. dalam kesepakatan senilai $5,6 miliar tahun lalu.
PowerSchool hanya membagikan sedikit rincian secara publik tentang serangan sibernya, ketika distrik sekolah yang terkena dampak mulai memberi tahu siswa dan guru mereka tentang pelanggaran data tersebut. Situs web perusahaan tersebut menyatakan bahwa perangkat lunak catatan sekolahnya digunakan oleh 18.000 sekolah untuk mendukung lebih dari 60 juta siswa di seluruh Amerika Utara.
Dalam komunikasi yang dibagikan dengan pelanggannya minggu lalu dan dilihat oleh TechCrunch, PowerSchool mengonfirmasi bahwa peretas yang tidak disebutkan namanya mencuri “informasi pribadi sensitif” pada siswa dan guru, termasuk nomor Jaminan Sosial, nilai, demografi, dan informasi medis beberapa siswa. PowerSchool belum mengatakan berapa banyak pelanggan yang terkena dampak serangan siber tersebut, namun beberapa distrik sekolah yang terkena pelanggaran tersebut mengatakan kepada TechCrunch bahwa log mereka menunjukkan bahwa peretas mencuri “semua” data historis siswa dan guru mereka.
Seseorang yang bekerja di distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa mereka memiliki bukti bahwa informasi yang sangat sensitif tentang siswa telah disalahgunakan dalam pelanggaran tersebut. Orang tersebut memberikan contoh, seperti informasi tentang hak akses orang tua terhadap anak-anaknya, termasuk perintah penahanan, dan informasi kapan siswa tertentu perlu meminum obatnya. Orang lain di distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa data yang dicuri akan bergantung pada apa yang ditambahkan masing-masing sekolah ke sistem PowerSchool mereka.
Menurut sumber yang berbicara dengan TechCrunch, PowerSchool mengatakan kepada pelanggannya bahwa peretas membobol sistem perusahaan menggunakan satu akun pemeliharaan yang dikompromikan yang terkait dengan subkontraktor dukungan teknis PowerSchool. Di atasnya halaman kejadian yang diluncurkan minggu ini, PowerSchool mengatakan telah mengidentifikasi akses tidak sah di salah satu portal dukungan pelanggannya.
Juru bicara PowerSchool Beth Keebler mengkonfirmasi kepada TechCrunch pada hari Jumat bahwa akun subkontraktor yang digunakan untuk melanggar portal dukungan pelanggan tidak dilindungi dengan otentikasi multi-faktor, fitur keamanan yang banyak digunakan yang dapat membantu melindungi akun dari peretasan yang terkait dengan pencurian kata sandi. PowerSchool mengatakan MFA telah diluncurkan.
PowerSchool bekerja sama dengan perusahaan respons insiden CrowdStrike untuk menyelidiki pelanggaran tersebut dan sebuah laporan diperkirakan akan dirilis paling cepat pada hari Jumat. Saat dihubungi melalui email, CrowdStrike menunda komentar ke PowerSchool.
Keebler mengatakan kepada TechCrunch bahwa perusahaan “tidak dapat memverifikasi keakuratan” pelaporan kami. “Analisis dan temuan awal CrowdStrike tidak menunjukkan bukti akses lapisan sistem yang terkait dengan insiden ini, maupun malware, virus, atau pintu belakang apa pun,” kata Keebler kepada TechCrunch. PowerSchool tidak akan mengatakan apakah mereka telah menerima laporan dari CrowdStrike, juga tidak akan mengatakan apakah mereka berencana untuk merilis temuannya secara publik.
PowerSchool mengatakan peninjauannya terhadap data yang dieksfiltrasi sedang berlangsung dan tidak memberikan perkiraan jumlah siswa dan guru yang datanya terpengaruh.
Kata sandi PowerSchool dicuri oleh malware
Menurut sumber yang mengetahui operasi penjahat dunia maya, log yang diperoleh dari komputer seorang insinyur yang bekerja untuk PowerSchool menunjukkan bahwa perangkat mereka telah diretas oleh malware pencuri informasi LummaC2 sebelum terjadinya serangan siber.
Tidak jelas kapan tepatnya malware itu dipasang. Sumber tersebut mengatakan kata sandi tersebut dicuri dari komputer sang insinyur pada Januari 2024 atau lebih awal.
Pencuri info telah menjadi jalur yang semakin efektif bagi peretas untuk membobol perusahaan, terutama dengan maraknya sistem kerja jarak jauh dan hybrid, yang sering kali memungkinkan karyawan menggunakan perangkat pribadi mereka untuk mengakses akun kerja. Seperti yang dijelaskan Wiredhal ini menciptakan peluang bagi malware untuk mencuri informasi untuk dipasang di komputer rumah seseorang namun tetap mendapatkan kredensial yang dapat diakses oleh perusahaan karena karyawan tersebut juga masuk ke sistem kerja mereka.
Cache log LummaC2, yang dilihat oleh TechCrunch, berisi kata sandi teknisi, riwayat penelusuran dari dua browser web mereka, dan file yang berisi informasi identifikasi dan teknis tentang komputer teknisi.
Beberapa kredensial yang dicuri tampaknya terkait dengan sistem internal PowerSchool.
Log menunjukkan bahwa malware mengekstrak sandi dan riwayat penjelajahan yang tersimpan dari browser Google Chrome dan Microsoft Edge mereka. Malware kemudian mengunggah cache log, termasuk kredensial yang dicuri sang insinyur, ke server yang dikendalikan oleh operator malware. Dari sana, kredensial tersebut dibagikan ke komunitas online yang lebih luas, termasuk grup Telegram tertutup yang berfokus pada kejahatan dunia maya, tempat kata sandi dan kredensial akun perusahaan dijual dan diperdagangkan di antara para penjahat dunia maya.
Log malware berisi kata sandi insinyur untuk repositori kode sumber PowerSchool, platform pesan Slack, instance Jira untuk pelacakan bug dan masalah, dan sistem internal lainnya. Riwayat penelusuran teknisi juga menunjukkan bahwa mereka memiliki akses luas ke akun PowerSchool di Amazon Web Services, termasuk akses penuh ke server penyimpanan cloud S3 yang dihosting AWS milik perusahaan.
Kami tidak menyebutkan nama insinyurnya, karena tidak ada bukti bahwa mereka melakukan kesalahan. Seperti yang telah kami catat sebelumnya mengenai pelanggaran dalam situasi serupa, pada akhirnya merupakan tanggung jawab perusahaan untuk menerapkan pertahanan dan menegakkan kebijakan keamanan yang mencegah intrusi yang disebabkan oleh pencurian kredensial karyawan.
Saat ditanya oleh TechCrunch, Keebler dari PowerSchool mengatakan orang yang kredensialnya disusupi digunakan untuk melanggar sistem PowerSchool tidak memiliki akses ke AWS dan sistem internal PowerSchool — termasuk Slack dan AWS — dilindungi dengan MFA.
Komputer insinyur juga menyimpan beberapa set kredensial milik karyawan PowerSchool lainnya, yang telah dilihat oleh TechCrunch. Kredensial tersebut tampaknya memungkinkan akses serupa ke Slack perusahaan, repositori kode sumber, dan sistem internal perusahaan lainnya.
Dari lusinan kredensial PowerSchool yang kami lihat di log, banyak yang pendek dan memiliki kompleksitas dasar, beberapa di antaranya hanya terdiri dari beberapa huruf dan angka. Beberapa kata sandi akun yang digunakan oleh PowerSchool cocok dengan kredensial yang telah disusupi dalam pelanggaran data sebelumnya, menurut laporan Have I Been Pwned. memperbarui daftar kata sandi yang dicuri.
TechCrunch tidak menguji nama pengguna dan kata sandi yang dicuri pada sistem PowerSchool mana pun, karena hal itu melanggar hukum. Oleh karena itu, tidak dapat ditentukan apakah kredensial tersebut masih digunakan secara aktif atau apakah ada yang dilindungi dengan MFA.
PowerSchool mengatakan tidak dapat mengomentari kata sandi tanpa melihatnya. (TechCrunch menyembunyikan kredensial untuk melindungi identitas insinyur yang diretas.) Perusahaan mengatakannya memiliki “protokol yang kuat untuk keamanan kata sandi, termasuk persyaratan panjang minimum dan kompleksitas, dan kata sandi dirotasi sesuai dengan rekomendasi NIST.” Perusahaan mengatakan setelah pelanggaran tersebut, PowerSchool telah “melakukan pengaturan ulang kata sandi secara penuh dan lebih memperketat kata sandi dan kontrol akses untuk semua akun portal dukungan pelanggan PowerSource,” mengacu pada portal dukungan pelanggan yang dilanggar.
PowerSchool mengatakan mereka menggunakan teknologi sistem masuk tunggal dan MFA untuk karyawan dan kontraktor. Perusahaan mengatakan kontraktor diberikan laptop atau akses ke lingkungan desktop virtual yang memiliki kontrol keamanan, seperti anti-malware dan VPN untuk terhubung ke sistem perusahaan.
Masih ada pertanyaan mengenai pelanggaran data PowerSchool dan penanganan selanjutnya atas insiden tersebut, karena distrik sekolah yang terkena dampak terus menilai berapa banyak siswa dan staf mereka saat ini dan mantan siswa serta staf yang data pribadinya dicuri dalam pelanggaran tersebut.
Staf di distrik sekolah yang terkena dampak pelanggaran PowerSchool mengatakan kepada TechCrunch bahwa mereka mengandalkan upaya crowdsourcing dari distrik sekolah lain dan pelanggan untuk membantu administrator mencari file log PowerSchool mereka untuk mencari bukti pencurian data.
Pada saat publikasi, dokumentasi PowerSchool tentang pelanggaran tersebut tidak dapat diakses tanpa login pelanggan untuk situs web perusahaan.
Carly Page menyumbangkan pelaporan.
Hubungi Zack Whittaker dengan aman di Signal dan WhatsApp di +1 646-755-8849, dan Carly Page dapat dihubungi dengan aman di Signal di +44 1536 853968. Anda juga dapat berbagi dokumen dengan aman dengan TechCrunch melalui SecureDrop.
