بدافزار، گذرواژه‌های داخلی پاوراسکول را از رایانه هک‌شده یک مهندس دزدید.

بدافزار، گذرواژه‌های داخلی PowerSchool را از کامپیوتر هک‌شده یک مهندس دزدید.

Malware stole internal PowerSchool passwords from engineer’s hacked computer

یک حمله سایبری و نقض داده‌ها در شرکت بزرگ فناوری آموزشی ایالات متحده، پاوراسکول، که در تاریخ ۲۸ دسامبر شناسایی شد، ممکن است اطلاعات خصوصی ده‌ها میلیون دانش‌آموز و معلم را در معرض تهدید قرار دهد. پاوراسکول به مشتریان خود اعلام کرد که این نقض به حساب یک پیمانکار فرعی مرتبط است. این هفته، TechCrunch از یک حادثه امنیتی جداگانه مطلع شد که به یک مهندس نرم‌افزار پاوراسکول مربوط می‌شود. در این حادثه، رایانه این مهندس به بدافزاری آلوده شد که اطلاعات کاربری شرکت را پیش از وقوع حمله سایبری سرقت کرده است. احتمالاً پیمانکار فرعی مذکور و مهندس معرفی‌شده توسط TechCrunch، یک فرد نیستند. سرقت اطلاعات کاربری مهندس موجب نگرانی بیشتری درباره شیوه‌های امنیتی پاوراسکول شده است؛ این شرکت سال گذشته با توافقی به ارزش ۵.۶ میلیارد دلار توسط گروه سرمایه‌گذاری Bain Capital خریداری شد.
پاوراسکول جزئیات کمی در مورد این حمله سایبری به‌طور عمومی ارائه داده و نواحی آموزشی تحت تأثیر شروع به اطلاع‌رسانی به دانش‌آموزان و معلمان خود درباره این نقض داده کرده‌اند. وب‌سایت این شرکت اعلام می‌کند که نرم‌افزار ثبت سوابق تحصیلی‌اش در ۱۸,۰۰۰ مدرسه برای حمایت از بیش از ۶۰ میلیون دانش‌آموز در آمریکا مورد استفاده قرار می‌گیرد. در ارتباطات به‌اشتراک گذاشته‌شده با مشتریان، پاوراسکول تأیید کرد که هکرها "اطلاعات شخصی حساس" از دانش‌آموزان و معلمان، از جمله شماره‌های تأمین اجتماعی، نمرات، اطلاعات جمعیتی و اطلاعات پزشکی را سرقت کرده‌اند.
پاوراسکول هنوز به شمار مشتریانی که تحت تأثیر این حمله سایبری قرار گرفته‌اند، اشاره‌ای نکرده است، اما چند ناحیه آموزشی که آسیب دیده‌اند به TechCrunch اعلام کرده‌اند که لاگ‌های آن‌ها نشان می‌دهد هکرها "تمام" داده‌های تاریخی دانش‌آموزان و معلمان را سرقت کرده‌اند. یکی از افرادی که در یکی از نواحی آموزشی آسیب‌دیده فعالیت دارد، به TechCrunch گفت که شواهدی از سرقت اطلاعات بسیار حساس درباره دانش‌آموزان در این نقض وجود دارد. این فرد نمونه‌هایی ارائه داد، از جمله اطلاعات درباره حقوق دسترسی والدین به فرزندان‌شان و جزئیات مربوط به زمان مصرف داروی برخی دانش‌آموزان.
افراد دیگری از نواحی آموزشی آسیب‌دیده به TechCrunch گفته‌اند که داده‌های سرقت‌شده بستگی به اطلاعاتی دارد که هر مدرسه به سیستم‌های پاوراسکول خود اضافه کرده است. براساس منابعی که با TechCrunch صحبت کردند، پاوراسکول به مشتریان خود اطلاع داده که هکرها از طریق یک حساب نگهداری که به یک پیمانکار پشتیبانی فنی پاوراسکول مرتبط بود، به سیستم‌های شرکت نفوذ کرده‌اند. پاوراسکول در صفحه حادثه‌ای که هفته جاری راه‌اندازی کرد، اعلام کرد که دسترسی غیرمجاز در یکی از پورتال‌های پشتیبانی مشتریان خود شناسایی شده است.
سخنگوی پاوراسکول، بث کیبلر، روز جمعه به TechCrunch تأیید کرد که حساب پیمانکار فرعی که برای نفوذ به پورتال مشتری استفاده شده، تحت حفاظت احراز هویت چندعاملی نبود. پاوراسکول اعلام کرد که این ویژگی امنیتی بعداً به‌کار گرفته شده است. این شرکت با شرکت پاسخگویی به حوادث CrowdStrike برای تحقیق در مورد این نقض همکاری می‌کند و انتظار می‌رود گزارشی تا روز جمعه منتشر شود.
زمانی که به ایمیل تماس گرفته‌شده، CrowdStrike از اظهارنظر درباره این موضوع امتناع کرد. کیبلر به TechCrunch گفت که شرکت "نمی‌تواند دقت" گزارش‌های ما را تأیید کند. او افزود: "تحلیل‌ها و یافته‌های اولیه CrowdStrike هیچ مدرکی مبنی بر دسترسی در سطح سیستم یا وجود بدافزار و یا درب پشتی مرتبط با این حادثه را نشان نمی‌دهد." پاوراسکول تأیید نکرد که آیا گزارشی از CrowdStrike دریافت کرده است یا اینکه آیا قصد دارد یافته‌های خود را به‌طور عمومی منتشر کند یا خیر. بررسی داده‌های استخراج‌شده توسط پاوراسکول همچنان ادامه دارد و تعداد دانش‌آموزان و معلمان تحت تأثیر این نقض اعلام نشده است. در نهایت، این اطلاعات نشان می‌دهد که تکنولوژی‌های آموزشی نیاز به تقویت امنیت دارند تا از حریم شخصی میلیون‌ها کاربر محافظت کنند. برای اطلاعات بیشتر می‌توانید به سایت ما به آدرس 'iwl.ir' مراجعه کنید.

• cyberattack
• cybersecurity
• data breach
• Education
• Exclusive
• powerschool
• Security

پسوردهای PowerSchool به وسیله بدافزار سرقت شدند

PowerSchool passwords stolen by malware

به گزارش منابع مطلع در مورد فعالیت‌های جنایتکاران سایبری، اطلاعات به‌دست‌آمده از یک مهندس شرکت PowerSchool نشان می‌دهد که رایانه او پیش از حمله سایبری، به‌طور غیرمجاز توسط بدافزار استخراج‌گر اطلاعات به‌نام LummaC2 هک شده است. زمان دقیق نصب این بدافزار مشخص نیست، اما به گفته این منبع، رمزهای عبور در ژانویه 2024 یا زودتر از رایانه این مهندس به سرقت رفته‌اند.
با گسترش کار از راه دور و مدل‌های هیبریدی، هکرها به روش‌های موثرتر برای نفوذ به شرکت‌ها دست یافته‌اند و بدافزارهای استخراج‌گر اطلاعات به‌شدت در حال افزایش هستند. این روند به‌ویژه در زمانی که کارکنان از دستگاه‌های شخصی خود برای دسترسی به حساب‌های کاری استفاده می‌کنند، فرصت‌های مناسب‌تری را برای نصب بدافزارها فراهم می‌آورد. بر اساس اطلاعاتی که از TechCrunch به‌دست آمده است، لاگ‌های LummaC2 شامل رمزهای عبور و تاریخچه مرورگرهای وب این مهندس است.
این بدافزار به‌ویژه قادر بود تا اطلاعاتی مانند رمزهای عبور ذخیره‌شده در مرورگرهای Google Chrome و Microsoft Edge را استخراج کرده و به سرورهایی که تحت کنترل اپراتور بدافزار بود، ارسال کند. این اطلاعات به یک جامعه بزرگتر آنلاین، از جمله گروه‌های تلگرامی متمرکز بر جرایم سایبری، منتقل شد، جایی که رمزهای عبور و اطلاعات دیگر شرکت‌ها به فروش می‌رسد.
بسیاری از رمزهای عبوری که به‌دست‌آمده، به سیستم‌های داخلی PowerSchool مرتبط هستند. تاریخچه مرور این مهندس نشان می‌دهد که او به حساب PowerSchool در Amazon Web Services دسترسی کامل داشته است، که شامل دسترسی به سرورهای ذخیره‌سازی ابری S3 نیز می‌شود. به‌دلیل عدم وجود شواهدی مبنی بر ارتکاب خطا توسط این مهندس، نام او فاش نمی‌شود.
دفاع از سیستم‌ها و اجرای سیاست‌های امنیتی بر عهده شرکت‌هاست تا از نفوذهای ناشی از سرقت اعتبارنامه‌های کارکنان جلوگیری کنند. شرکت PowerSchool اعلام کرده که سیستم‌های داخلی‌اش از جمله Slack و AWS با احراز هویت چند مرحله‌ای (MFA) محافظت شده‌اند و فردی که اعتبارنامه‌هایش برای نفوذ به سیستم‌های PowerSchool مورد استفاده قرار گرفت، دسترسی به AWS نداشته است.
رایانه مهندس همچنین حاوی چندین مجموعه از اعتبارنامه‌های متعلق به سایر کارکنان PowerSchool بوده که به آنها نیز دسترسی مشابهی به سیستم‌های داخلی شرکت را می‌دهد. بسیاری از رمزهای عبوری که در این لاگ‌ها دیده شده، کوتاه و با پیچیدگی پایین بودند و برخی از آنها تنها از چند حرف و عدد تشکیل می‌شدند. همچنین مشخص شده که تعدادی از این رمزها قبلاً در سرقت‌های داده‌ای دیگر به خطر افتاده بودند.
PowerSchool در واکنش به این رخداد اعلام کرد که یک ریست کامل رمز عبور انجام داده و کنترل‌های امنیتی خود را در پورتال پشتیبانی مشتریان به‌طور جدی‌تر تقویت کرده است. این شرکت تأکید کرده که از فناوری ورود یکسان و MFA برای کارکنان و پیمانکاران استفاده می‌کند و دستگاه‌های کارکنان دارای کنترل‌های امنیتی نظیر ضد بدافزار و VPN هستند.
سؤالاتی درباره نقض اطلاعات PowerSchool و نحوه مدیریت آن توسط این شرکت باقی مانده است. در ادامه تحقیقات، نواحی آموزشی تحت تأثیر به بررسی تعداد دانش‌آموزان و کارکنان فعلی و سابقی پرداخته‌اند که اطلاعات شخصی آن‌ها در این رخداد سرقت شده است. در زمان انتشار این خبر، دسترسی به مستندات PowerSchool درباره این حادثه بدون احراز هویت امکان‌پذیر نیست.