Jaksa Agung Texas Ken Paxton memiliki mengajukan gugatan Terhadap Perusahaan Perangkat Lunak Pendidikan Powerschool, yang mengalami pelanggaran data besar -besaran pada bulan Desember yang mengekspos informasi pribadi dari 62 juta siswa, termasuk lebih dari 880.000 orang Texas.
Powerschool adalah penyedia solusi perangkat lunak berbasis cloud untuk sekolah dan distrik K-12, dengan lebih dari 18.000 pelanggan dan mendukung lebih dari 60 juta siswa di seluruh dunia.
Pada bulan Januari, raksasa perangkat lunak pendidikan mengungkapkannya Portal Dukungan Pelanggan PowerSource -nya dilanggar Pada 19 Desember 2024, menggunakan kredensial curian subkontraktor. Penyerang menuntut tebusan $ 2,85 juta di Bitcoin pada 28 Desember 2024, setelah mencuri nama lengkap, alamat fisik, nomor telepon, kata sandi, informasi orang tua, detail kontak, nomor jaminan sosial, dan data medis dari siswa dan fakultas yang terkena dampak.
Seperti yang pertama kali dilaporkan BleepingComputer, aktor ancaman di belakang pelanggaran powerschool Desember 2024 diklaim Untuk mencuri data pribadi 62,4 juta siswa dan 9,5 juta guru dari 6.505 distrik sekolah di seluruh AS, Kanada, dan negara -negara lain.
“Kegagalan Powerschool melanggar Undang -Undang Praktik Perdagangan Texas yang menipu dan Undang -Undang Penegakan Pencurian dan Perlindungan Identitas dengan menyesatkan pelanggan tentang praktik keamanannya dan gagal mengambil langkah -langkah yang wajar untuk melindungi informasi sensitif yang dipercayakan oleh keluarga Texas dan distrik sekolah,” Kantor Jaksa Agung Texas dikatakan.
“Jika Big Tech berpikir mereka dapat mengambil untung dari mengelola data anak -anak sambil memotong sudut pada keamanan, mereka salah. Orang tua tidak perlu khawatir bahwa informasi yang mereka berikan untuk mendaftarkan anak -anak mereka di sekolah dapat dicuri dan disalahgunakan. Kantor saya akan melakukan segala yang kami bisa untuk meminta pertanggungjawaban Powerschool karena menempatkan siswa Texas, guru, dan keluarga dalam risiko,” Jaksa Agung Paxton pada hari Rabu.
Penyerang memeras sekolah, mengaku bersalah
Dalam FAQ pribadi yang dibagikan kepada pelanggan dan ditinjau oleh BleepingComputer pada saat itu, Powerschool mengakui bahwa mereka telah melakukan pembayaran tebusan untuk menghentikan data agar tidak diungkapkan dan menerima video dari penyerang yang mengklaim bahwa data curian telah dihapus.
Namun, seseorang yang mengaku sebagai shinyhunters dimulai distrik sekolah yang memeras secara individual Pada awal Mei, mengancam untuk melepaskan data siswa dan guru yang sebelumnya dicuri jika tebusan tidak dibayar.
Pemimpin Shinyhunters mengklaim kepada BleepingComputer bahwa orang ini adalah afiliasi yang secara keliru menyamar sebagai kelompok peretasan, yang berusaha untuk memperluas kembali powerschool dengan data yang dicuri pada bulan September 2024 sebelumnya pelanggaran sebelumnya September 2024 dilihat oleh crowdstrike.
Belakangan bulan itu, mahasiswa berusia 19 tahun Matthew D. Lane dari Worcester, Massachusetts, mengaku bersalah Untuk mengatur serangan siber besar -besaran di powerschool dengan bantuan beberapa konspirator lain dan berusaha memeras jutaan dolar dengan imbalan tidak membocorkan data jutaan yang dicuri.
Menurut pemberitahuan sekolah dan a Databreaches.net Laporan, tuntutan tebusan yang dikirim ke distrik sekolah yang diklaim berasal Shinyhunterssekelompok aktor ancaman tinggi yang terkait dengan a Berbagai macam pelanggaran itu berdampak ratusan juta orang.
Pada bulan Maret, Powerschool juga menerbitkan investigasi crowdstrike atas insiden tersebut, yang mengungkapkan bahwa aktor ancaman juga melanggar PowerSource pada bulan Agustus dan September 2024menggunakan kredensial yang dikompromikan yang sama. Namun, perusahaan cybersecurity tidak dapat menemukan bukti bahwa penyerang yang sama bertanggung jawab atas ketiga pelanggaran.
UPDATE 9/4/25: Menambahkan informasi tentang afiliasi Shinyhunters.
