![PowerSchool 曾于 8 月遭到黑客攻击,几个月后数据被泄露]( "PowerSchool 曾于 8 月遭到黑客攻击,几个月后数据被泄露")
PowerSchool 发布了一份备受期待的 CrowdStrike 调查报告,调查其 2024 年 12 月的大规模数据泄露事件,报告确定该公司曾在 4 个多月前的 8 月和 9 月两次遭到黑客攻击。
PowerSchool 是一家基于云的 K-12 软件提供商,为全球超过 6000 万名学生和 18,000 名客户提供服务,提供招生、通讯、出勤、员工管理、学习、分析和财务解决方案。
去年 12 月,该公司宣布黑客未经授权访问了其客户支持门户 PowerSource。该门户包含一个远程维护工具,允许威胁者连接到客户数据库并窃取敏感信息,包括全名、实际地址、联系信息、社会安全号码 (SSN)、医疗数据和成绩。
尽管该公司尚未正式披露受此事件影响的人数,但BleepingComputer 首先报道称,该攻击者声称窃取了包括学生和教师在内的 7200 万人的数据。
在上周晚些时候发布的更新中,PowerSchool 分享了一份于 2025 年 2 月 28 日编写的 CrowdStrike 事件报告。
在该报告中,CrowdStrike 确认威胁行为者使用泄露的凭据通过 PowerSource 入侵了 PowerSchool,并在 2024 年 12 月 19 日 19:43:14 UTC 至 2024 年 12 月 28 日 06:31:18 UTC 期间保持访问权限。
该网络安全公司还证实,攻击者从受感染的系统中窃取了教师和学生的数据,但没有证据表明其他数据库被盗。
同样,没有证据表明恶意软件被植入 PowerSchool 系统,或者威胁行为者提升了他们的权限、横向移动或向下游移动到客户/学校系统。
CrowdStrike 指出,截至 2025 年 1 月 2 日,其暗网情报显示,威胁行为者在支付勒索要求后仍信守不发布数据的承诺,因为该网络安全公司尚未发现在网上出售或泄露的数据。
CrowdStrike 还发现,攻击者甚至早在 12 月就入侵了 PowerSource,并且使用了几个月前(即 2024 年 8 月和 9 月)使用的相同泄露凭据。
然而,没有足够的数据来确认所有攻击事件背后是否都是同一个威胁行为者。
CrowdStrike 解释道:“从 2024 年 8 月 16 日 UTC 时间 01:27:29 开始,PowerSource 日志显示,一名未知行为者使用受损的支持凭据成功访问了 PowerSchool PowerSource 门户。”
CrowdStrike 没有找到足够的证据将此活动归咎于 2024 年 12 月对该活动负责的威胁行为者。
可用的 SIS 日志数据不足以显示 8 月和 9 月的活动是否包括对 PowerSchool SIS 数据的未经授权的访问。
目前,PowerSchool 仍未正式公布受影响学校、学生或教师的总数,这引发了人们对透明度的担忧。
然而,消息人士告诉 BleepingComputer,此次泄密影响了美国、加拿大和其他国家的 6,505 个学区,62,488,628 名学生和 9,506,624 名教师的数据被盗。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):PowerSchool 曾于 8 月遭到黑客攻击,几个月后数据被泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3876465.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论