Mahasiswa berusia 19 tahun Matthew D. Lane, dari Worcester, Massachusetts, dijatuhi hukuman 4 tahun penjara karena mengatur serangan siber di PowerSchool pada Desember 2024 yang mengakibatkan pelanggaran data besar-besaran.
PowerSchool adalah penyedia solusi perangkat lunak berbasis cloud untuk sekolah dan distrik K-12, dengan lebih dari 18,000 pelanggan di seluruh dunia dan mendukung lebih dari 60 juta siswa.
Menurut dokumen pengadilanHakim Distrik AS Margaret R. Guzman pada hari Selasa menjatuhkan hukuman empat tahun penjara kepada Lane dan memerintahkan dia membayar ganti rugi sebesar $14 juta dan denda $25.000.
Jalur mengaku bersalah pada bulan Mei 2025 menjadi empat dakwaan federal masing-masing satu dakwaan berupa akses tidak sah ke komputer yang dilindungi, konspirasi pemerasan dunia maya, pemerasan dunia maya, dan pencurian identitas yang parah.
Seperti yang dikatakan Departemen Kehakiman AS pada bulan Mei, Lane dan kaki tangannya menggunakan kredensial yang dicuri dari subkontraktor untuk melakukan hal tersebut melanggar portal dukungan pelanggan PowerSource raksasa perangkat lunak pendidikan pada 19 Desember 2024, dan alat pemeliharaan untuk mengunduh database sekolah yang berisi informasi pribadi 9,5 juta guru dan 62,4 juta siswa dari 6.505 distrik sekolah di seluruh dunia.
Setelah mencuri berbagai data sensitif milik mahasiswa dan dosen, termasuk nama lengkap, alamat fisik, nomor telepon, kata sandi, informasi orang tua, rincian kontak, nomor Jaminan Sosial, dan data medis mahasiswa dan dosen yang terkena dampak, mereka mengirimkan permintaan tebusan sebesar $2,85 juta dalam bentuk Bitcoin pada tanggal 28 Desember.
Surat tebusan ini diklaim berasal dari Shiny Hunters, sebuah kelompok ancaman terkenal yang terkait dengan banyak pelanggaran, termasuk Pelanggaran data AT&T 2022 yang berdampak pada 109 juta orang, itu Serangan pencurian data SnowFlakedan sebuah gelombang pelanggaran Salesforce.
Sementara PowerSchool membayar uang tebusan untuk mencegah kebocoran data, masih belum jelas berapa jumlah yang dibayarkan. Meski dibayar, Lane dan rekan konspiratornya tetap berusaha melakukannya secara individual memeras distrik sekolah yang terkena dampak membayar uang tebusan tambahan untuk mencegah kebocoran data siswa.
Pada bulan Maret, PowerSchool juga mengungkapkan aktor ancaman tersebut sebelumnya telah melanggar PowerSource pada Agustus dan September 2024menggunakan kredensial yang telah disusupi, namun penyelidikan CrowdStrike terhadap insiden tersebut tidak menemukan bukti yang menghubungkan penyerang yang sama dengan ketiga pelanggaran tersebut.
Bulan lalu, Jaksa Agung Texas Ken Paxton menggugat PowerSchool karena gagal melindungi data milik keluarga dan distrik sekolah di Texas, dan karena menyesatkan pelanggan tentang praktik keamanannya.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
