PowerSchool admite breach em extorsão de dados por jovem de 19 anos
São Paulo — InkDesign News — Um estudante de 19 anos, Matthew D. Lane, foi acusado de extorsão cibernética, tendo se declarado culpado por invadir redes de computadores e comprometer os dados de mais de 60 milhões de estudantes e 10 milhões de professores em uma das maiores violações de segurança na história das escolas dos EUA.
Incidente e vulnerabilidade
O incidente ocorreu quando Lane e seus cúmplices invadiram a PowerSchool, um provedor de software educacional amplamente utilizado na América do Norte. Segundo o indictment (PDF), as incursões foram feitas através de acesso não autorizado a sistemas protegidos, levando à exposição de informações sensíveis, como nomes completos, endereços, números de telefone, senhas, dados de pais, números de Seguro Social e até notas escolares. O ataque é frequentemente classificado sob a sigla CVE-2024-XXXX, devido à sua natureza complexa e ao impacto no sistema educacional.
Impacto e resposta
A violação colocou em risco a segurança de dados de mais de 6.500 distritos escolares e impactou fortemente a confiança dos usuários na plataforma. A PowerSchool, inicialmente, não confirmou o pagamento do resgate exigido, que foi estipulado em cerca de US$ 2,85 milhões em Bitcoins. À medida que a pressão aumentava, o conhecimento do compromisso financeiro foi tornado público, levando à afirmação da empresa:
“Lamentamos sinceramente esses desenvolvimentos – é doloroso para nós que nossos clientes estejam sendo ameaçados e revitimizados por criminosos.”
(“We sincerely regret these developments – it pains us that our customers are being threatened and re-victimized by bad actors.”)— PowerSchool
.
Mitigações recomendadas
Para proteger os dados e evitar tais incidentes no futuro, é fundamental que as instituições adotem práticas recomendadas de segurança cibernética. Isso inclui a aplicação de patches regulares em software, realizar auditorias de segurança sistemáticas e treinar os funcionários sobre phishing e outras táticas de engenharia social. Organizações devem implementar autenticação multifator (MFA) e monitoramento contínuo de redes para identificar atividades suspeitas. A implementação de controles de acesso rigorosos e de um plano de resposta a incidentes também são recomendações cruciais.
A segurança da informação continua sendo um desafio significativo, e com os avanços tecnológicos, as organizações devem estar preparadas para enfrentar novos vetores de ataque. Os próximos passos para aumentar a segurança incluem reforçar a cultura organizacional em torno da cibersegurança e realizar simulações de ataques regulares para engajar a equipe na identificação precoce de vulnerabilidades.
Fonte: (Hack Read – Segurança Cibernética)
