Der Softwarehersteller Brightly hat bestätigt, dass Hacker bei einem Datenverstoß im April fast drei Millionen SchoolDude-Benutzerkonten gestohlen haben.
SchoolDude ist ein cloudbasiertes Arbeitsauftragsverwaltungssystem, das hauptsächlich von Schulen und Universitäten zum Einreichen und Verfolgen von Wartungsaufträgen verwendet wird. Zu den Nutzern zählen Schulangestellte wie Schulleiter, Führungskräfte und Wartungspersonal sowie Schüler und anderes Personal, das Reparaturanfragen stellt.
In eine Benachrichtigung über eine Datenschutzverletzung Brightly sagte, dass die bei der Generalstaatsanwaltschaft von Maine eingereichten Daten sowohl frühere als auch aktuelle Kunden darüber informiert hätten, dass die Hacker ihre Namen, E-Mail-Adressen, Kontopasswörter und Telefonnummern mitgenommen hätten, sofern sie dem Konto hinzugefügt worden seien. Die Daten umfassen auch die Namen der Schulbezirke.
Laut Brightly werden Kundenpasswörter zurückgesetzt, eine gängige Praxis, wenn Benutzeranmeldungen offengelegt werden. Das Unternehmen warnte Benutzer, Passwörter für andere Online-Konten zu ändern, die dieselben Anmeldeinformationen verwenden wie bei SchoolDude. Dies bezieht sich auf Credential Stuffing, bei dem Hacker Passwörter aus früheren Datenschutzverletzungen verwenden, um in andere Benutzerkonten mit denselben Passwörtern einzudringen. Ein Systemadministrator auf Reddit, der die Benachrichtigung über die Datenschutzverletzung erhalten hat, sagt: Die gestohlenen Passwörter wurden nicht verschlüsselt.
Als Sprecherin Annie Satow um einen Kommentar gebeten wurde, bestritt sie nicht, dass die gestohlenen SchoolDude-Passwörter unverschlüsselt waren, lehnte jedoch eine Stellungnahme ab, die über die Datenschutzverletzungsmitteilung des Unternehmens hinausgeht. Brightly lehnte es auch ab, zu sagen, wie es zu dem Verstoß kam oder wer – wenn überhaupt – zum Zeitpunkt des Verstoßes für die Überwachung der Cybersicherheit im Unternehmen verantwortlich war.
Brightly sagte in seiner Mitteilung, dass es den Verstoß am 28. April entdeckt habe, mehr als eine Woche nach dem Massendatendiebstahl.
Siemens kaufte Brightly, früher bekannt als Dude Solutions, im Jahr 2022 vom Private-Equity-Eigentümer Clearlake Capital im Rahmen eines 1,6-Milliarden-Dollar-Deals. Zu diesem Zeitpunkt gab Brightly an, dass das Unternehmen 12.000 Unternehmenskunden hatte, hauptsächlich in Großbritannien, Kanada, Australien und den Vereinigten Staaten.