Durva adatszivárgási incidens sújtotta az észak-amerikai székhelyű PowerSchoolt. Rendszeréből mintegy 60 millió diák és tanár személyes adatai szivárogtak ki. Az oktatástámogatási szoftvereket szolgáltatásként nyújtó cég Európában és Ázsiában is jelentős piaci szereplőnek számít, világszerte 18 ezer ügyfele van.

Az adatszivárgás, melyet a PowerSchool is megerősített, a Student Information Cloud platform részeként működő SIS rendszert (Student Information System) érintette. A platform ún. k-12-es rendszer: az oktatás első, az óvodától a 12. osztályig tartó szakaszát támogatja, de a cég üzemeltet személyre szabott főiskolai, karrier- és élettervezési eszközöket is. Mindez jól illusztrálja, mennyire sokféle érzékeny adatot kezel a vállalat.

Már tavaly tudtak róla

A támadásról a hét elején levélben tájékoztatta a cég az ügyfeleit. A tájékoztató szerint a PowerSchool 2024. december 28-án észlelte, hogy illetéktelenek fértek hozzá a PowerSchool SIS-ből az ügyféladatokhoz, és azokat le is töltötték (független szakértők szerint a támadók december 22-én már biztosan bejutottak a rendszerbe). Az eddigi vizsgálatok szerint a bejutáshoz kompromittált hitelesítő adatokat használtak, majd egyszerűen exportálták a rendszer adatait az ügyfélkiszolgáló portál, a PowerSource adatexportáló eszközével.

Persze a dolog azért nem volt ilyen egyszerű. Mint a BleepingComputer írja, a PowerSource-ban van egy karbantartási segédeszköz, amellyel a PowerSchool mérnökei hozzáférnek az ügyfél SIS példányaihoz. Az eszköz, elvileg arra szolgál, hogy a mérnökök gyorsan tudjanak segíteni az ügyfeleknek, ha azok például teljesítményproblémát észlelnek. Most azonban a kiberbűnözöknek segített a platformon tárolt 'Students' és 'Teachers' adatbázis tábláit CSV fájlba exportálni, majd letölteni.

A PowerSchool a csak ügyfelei számára elérhető FAQ-jában szintén foglalkozott a támadással. Ott állítólag úgy tájékoztatta a platform használóit, hogy bár ez nem ransomware-támadás volt, az ilyen ügyekre szakosodott CyberSteward nevű tanácsadó javaslatára tárgyaltak a támadókkal, és észszerű összeg ellenében biztosítékokat kaptak arra, hogy a bűnözők törlik az adatokat. A törlést egy videófelvétellel bizonyították. Mivel azonban arra semmi garancia, hogy valóban törölték az összes példányt, a cég folyamatosan figyeli a dark webet, hogy nem bukkannak-e fel az ellopott adatok.

Csupa-csupa érzékeny adat

A bűnözők különböző tanulói nyilvántartásokhoz, az osztályzatokhoz, a hiányzásokhoz, beiratkozáskor felvett adatokhoz is hozzáfértek. A szerencsésebbeknek "csak" a neve és lakcíme szivárgott ki. De sokaknak ellopták a társadalombiztosítási számát, a személyazonosításra alkalmas adatait, orvosi előzményeit is. Ügyfélhitelesítő adatok és fórumadatok azonban nem kerültek illetéktelen kezekbe, írta a vállalat a BleepingComputernek.

A PowerSource értesítette ügyfeleit arról is, hogy az ügyfélszolgálati portál összes fiókjának jelszavát le kell cserélni, egyben szigorítják a jelszószabályokat. Az érintett felnőttek a hitelkártya-csalások megelőzését szolgáló credit monitoring szolgáltatást, a fiatalkorúak pedig személyazonosság-védelmi szolgáltatást kapnak. 

A PowerSchool azt állítja, hogy a támadás nem érinti a működését, szolgáltatások a szokásos módon, zavartalanul működnek.

A magyar iskolák is ismerik az érzést

Az utóbbi évek egyik fontos trendje, hogy egészségügyi vagy önkormányzati szervezetek mellett az oktatási intézmények (különösen az általános és középiskolák) váltak a ransomware-támadások célpontjaivá. Ennek két oka is van: egyrészt az oktatási intézmények a működésük fenntartása érdekében gyors megállapodásra törekszenek (értsd: fizetnek). Másrészt kevés a tapasztalatuk az internetképes hordozható eszközök rendszerszintű és biztonságos kezelésében.

A problémával 2022 őszén a magyar közoktatás is szembesült, amikor sikeres adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszert, közismertebb nevén: a KRÉTA-t. Az értesülések szerint a támadó elvileg hozzáférhetett a diákok rendszerben tárolt adataihoz, de a fejlesztő cég egyéb adatbázisaihoz, forráskódjaihoz és belső kommunikációjához is.