Ein am 28. Dezember entdeckter Cyberangriff und Datenverstoß beim US-Bildungsriesen PowerSchool droht die Offenlegung der privaten Daten von zig Millionen Schulkindern und Lehrern.
PowerSchool teilte den Kunden mit, dass der Verstoß mit der Kompromittierung des Kontos eines Subunternehmers zusammenhängt. Tech erfuhr diese Woche von einem separaten Sicherheitsvorfall, an dem ein PowerSchool-Softwareentwickler beteiligt war, dessen Computer vor dem Cyberangriff mit Malware infiziert war, die die Anmeldedaten seines Unternehmens stahl.
Es ist unwahrscheinlich, dass der von PowerSchool genannte Subunternehmer und der von Tech identifizierte Ingenieur dieselbe Person sind. Der Diebstahl der Qualifikationen des Ingenieurs lässt weitere Zweifel an den Sicherheitspraktiken bei PowerSchool aufkommen, das vom Private-Equity-Riesen Bain Capital übernommen wurde in einem 5,6-Milliarden-Dollar-Deal im letzten Jahr.
PowerSchool hat nur wenige Details zu seinem Cyberangriff öffentlich bekannt gegeben, da die betroffenen Schulbezirke damit beginnen, ihre Schüler und Lehrer über den Datenverstoß zu informieren. Auf der Website des Unternehmens heißt es, dass seine Software für Schulunterlagen von 18.000 Schulen genutzt wird, um mehr als 60 Millionen Schüler in ganz Nordamerika zu unterstützen.
In einer Mitteilung, die PowerSchool letzte Woche an seine Kunden weitergegeben und von Tech eingesehen hat, bestätigte PowerSchool, dass die namentlich nicht genannten Hacker „sensible persönliche Informationen“ von Schülern und Lehrern gestohlen haben, darunter die Sozialversicherungsnummern, Noten, demografischen Daten und medizinischen Informationen einiger Schüler. PowerSchool hat noch nicht gesagt, wie viele Kunden von dem Cyberangriff betroffen sind, aber mehrere von dem Verstoß betroffene Schulbezirke haben Tech mitgeteilt, dass ihre Protokolle zeigen, dass die Hacker „alle“ historischen Schüler- und Lehrerdaten gestohlen haben.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, sagte gegenüber Tech, sie habe Beweise dafür, dass bei der Sicherheitsverletzung hochsensible Informationen über Schüler herausgefiltert wurden. Die Person nannte Beispiele wie Informationen über das Umgangsrecht der Eltern mit ihren Kindern, einschließlich einstweiliger Verfügungen, und Informationen darüber, wann bestimmte Schüler ihre Medikamente einnehmen müssen. Andere Personen in betroffenen Schulbezirken teilten Tech mit, dass die gestohlenen Daten davon abhängen, was jede einzelne Schule zu ihren PowerSchool-Systemen hinzugefügt hat.
Laut Quellen, die mit Tech sprachen, teilte PowerSchool seinen Kunden mit, dass die Hacker über ein einziges kompromittiertes Wartungskonto, das einem Subunternehmer für technischen Support von PowerSchool zugeordnet war, in die Systeme des Unternehmens eingebrochen seien. Auf seinem Vorfallseite PowerSchool sagte, es habe den unbefugten Zugriff auf eines seiner Kundensupportportale identifiziert, das diese Woche gestartet wurde.
PowerSchool-Sprecherin Beth Keebler bestätigte am Freitag gegenüber Tech, dass das Konto des Subunternehmers, das für den Zugriff auf das Kundensupport-Portal verwendet wurde, nicht durch Multi-Faktor-Authentifizierung geschützt war, einer weit verbreiteten Sicherheitsfunktion, die dazu beitragen kann, Konten vor Hacks im Zusammenhang mit Passwortdiebstahl zu schützen. Laut PowerSchool wurde MFA inzwischen eingeführt.
PowerSchool arbeitet mit dem Incident-Response-Unternehmen CrowdStrike zusammen, um den Verstoß zu untersuchen. Ein Bericht wird voraussichtlich bereits am Freitag veröffentlicht. Als CrowdStrike ihn per E-Mail erreichte, verschob er den Kommentar an PowerSchool.
Keebler sagte gegenüber Tech, dass das Unternehmen „die Richtigkeit“ unserer Berichterstattung nicht überprüfen könne. „Die ersten Analysen und Ergebnisse von CrowdStrike zeigen keine Hinweise auf einen Zugriff auf Systemebene im Zusammenhang mit diesem Vorfall oder auf Malware, Viren oder Hintertüren“, sagte Keebler gegenüber Tech. PowerSchool wollte weder sagen, ob es den Bericht von CrowdStrike erhalten hat, noch würde es sagen, ob es beabsichtigt, seine Ergebnisse öffentlich zu veröffentlichen.
PowerSchool sagte, dass die Überprüfung der exfiltrierten Daten noch nicht abgeschlossen sei und keine Schätzung der Anzahl der Schüler und Lehrer vorgelegt habe, deren Daten betroffen seien.
PowerSchool-Passwörter durch Malware gestohlen
Laut einer Quelle mit Kenntnissen über cyberkriminelle Vorgänge zeigen Protokolle vom Computer eines Ingenieurs, der für PowerSchool arbeitet, dass sein Gerät vor dem Cyberangriff von der verbreiteten Infostealing-Malware LummaC2 gehackt wurde.
Es ist unklar, wann genau die Malware installiert wurde. Die Quelle sagte, die Passwörter seien im Januar 2024 oder früher vom Computer des Ingenieurs gestohlen worden.
Infostealer sind zu einem immer effektiveren Weg für Hacker geworden, in Unternehmen einzudringen, insbesondere mit der Zunahme von Remote- und Hybridarbeit, die es Mitarbeitern häufig ermöglicht, ihre persönlichen Geräte für den Zugriff auf Arbeitskonten zu verwenden. Wie Wired erklärtDadurch entsteht die Möglichkeit, dass sich Infostealing-Malware auf dem Heimcomputer einer anderen Person installiert, am Ende aber dennoch Anmeldeinformationen für den Unternehmenszugriff erhalten, da der Mitarbeiter auch bei seinen Arbeitssystemen angemeldet war.
Der von Tech eingesehene Cache der LummaC2-Protokolle enthält die Passwörter des Ingenieurs, den Browserverlauf von zwei seiner Webbrowser und eine Datei mit identifizierbaren und technischen Informationen über den Computer des Ingenieurs.
Einige der gestohlenen Zugangsdaten scheinen mit den internen Systemen von PowerSchool in Zusammenhang zu stehen.
Aus den Protokollen geht hervor, dass die Malware die gespeicherten Passwörter und Browserverläufe des Ingenieurs aus seinen Google Chrome- und Microsoft Edge-Browsern extrahiert hat. Anschließend lud die Malware den Protokollcache, einschließlich der gestohlenen Anmeldeinformationen des Ingenieurs, auf Server hoch, die vom Betreiber der Malware kontrolliert wurden. Von dort aus wurden die Zugangsdaten mit einer breiteren Online-Community geteilt, einschließlich geschlossener, auf Cyberkriminalität ausgerichteter Telegram-Gruppen, in denen Passwörter und Zugangsdaten für Unternehmenskonten verkauft und zwischen Cyberkriminellen gehandelt werden.
Die Malware-Protokolle enthalten die Passwörter des Ingenieurs für die Quellcode-Repositorys von PowerSchool, seine Slack-Messaging-Plattform, seine Jira-Instanz zur Fehler- und Problemverfolgung und andere interne Systeme. Aus dem Browserverlauf des Ingenieurs geht außerdem hervor, dass er weitreichenden Zugriff auf das PowerSchool-Konto bei Amazon Web Services hatte, einschließlich vollem Zugriff auf die von AWS gehosteten S3-Cloud-Speicherserver des Unternehmens.
Wir nennen den Namen des Ingenieurs nicht, da es keine Beweise dafür gibt, dass er etwas falsch gemacht hat. Wie wir bereits bei Verstößen unter ähnlichen Umständen festgestellt haben, liegt es letztlich in der Verantwortung der Unternehmen, Abwehrmaßnahmen zu ergreifen und Sicherheitsrichtlinien durchzusetzen, die Eindringlinge durch den Diebstahl von Mitarbeiterdaten verhindern.
Auf Nachfrage von Tech sagte Keebler von PowerSchool, dass die Person, deren kompromittierte Zugangsdaten zum Angriff auf die Systeme von PowerSchool verwendet wurden, keinen Zugriff auf AWS hatte und dass die internen Systeme von PowerSchool – einschließlich Slack und AWS – mit MFA geschützt sind.
Der Computer des Ingenieurs speicherte auch mehrere Sätze von Anmeldeinformationen anderer PowerSchool-Mitarbeiter, die Tech gesehen hat. Die Anmeldeinformationen scheinen einen ähnlichen Zugriff auf Slack, Quellcode-Repositorys und andere interne Unternehmenssysteme des Unternehmens zu ermöglichen.
Von den Dutzenden PowerSchool-Anmeldeinformationen, die wir in den Protokollen gesehen haben, waren viele kurz und einfach und komplex, einige bestanden nur aus wenigen Buchstaben und Zahlen. Laut Have I Been Pwned’s stimmten mehrere der von PowerSchool verwendeten Kontokennwörter mit Anmeldeinformationen überein, die bereits bei früheren Datenschutzverletzungen kompromittiert worden waren Aktualisierung der Liste gestohlener Passwörter.
Tech hat die gestohlenen Benutzernamen und Passwörter auf keinem PowerSchool-System getestet, da dies rechtswidrig wäre. Daher kann nicht festgestellt werden, ob die Anmeldeinformationen noch aktiv verwendet werden oder ob sie mit MFA geschützt wurden.
PowerSchool sagte, es könne die Passwörter nicht kommentieren, ohne sie zu sehen. (Tech hat die Anmeldeinformationen zurückgehalten, um die Identität des gehackten Ingenieurs zu schützen.) Das Unternehmen sagte es verfügt über „robuste Protokolle für die Passwortsicherheit, einschließlich Mindestlängen- und Komplexitätsanforderungen, und Passwörter werden in Übereinstimmung mit den NIST-Empfehlungen rotiert.“ Das Unternehmen sagte nach dem Verstoß, PowerSchool habe „ein vollständiges Passwort-Reset durchgeführt und die Passwort- und Zugriffskontrolle für alle PowerSource-Kundensupport-Portalkonten weiter verschärft“ und bezog sich dabei auf das Kundensupport-Portal, das verletzt wurde.
PowerSchool sagte, dass es Single-Sign-On-Technologie und MFA sowohl für Mitarbeiter als auch für Auftragnehmer nutzt. Das Unternehmen sagte, dass Auftragnehmer Laptops oder Zugang zu seiner virtuellen Desktop-Umgebung erhalten, die über Sicherheitskontrollen wie Anti-Malware und ein VPN für die Verbindung mit den Systemen des Unternehmens verfügen.
Es bleiben Fragen zum Datenschutzverstoß von PowerSchool und zur anschließenden Behandlung des Vorfalls offen, da die betroffenen Schulbezirke weiterhin prüfen, wie viele ihrer aktuellen und ehemaligen Schüler und Mitarbeiter bei dem Verstoß personenbezogene Daten gestohlen haben.
Mitarbeiter in Schulbezirken, die von der PowerSchool-Verletzung betroffen sind, teilen Tech mit, dass sie sich auf Crowdsourcing-Bemühungen anderer Schulbezirke und Kunden verlassen, um Administratoren bei der Durchsuchung ihrer PowerSchool-Protokolldateien nach Beweisen für Datendiebstahl zu unterstützen.
Zum Zeitpunkt der Veröffentlichung war der Zugriff auf die Dokumentation von PowerSchool zum Verstoß ohne Kundenanmeldung für die Website des Unternehmens nicht möglich.
Carly Page trug zur Berichterstattung bei.
Kontaktieren Sie Zack Whittaker sicher über Signal und WhatsApp unter +1 646-755-8849, und Carly Page kann sicher über Signal unter +44 1536 853968 kontaktiert werden. Sie können Dokumente auch sicher über SecureDrop mit Tech teilen.