São Paulo — InkDesign News — Em 28 de dezembro de 2024, a gigante de tecnologia educacional PowerSchool sofreu uma vulnerabilidade significativa em seu sistema de suporte ao cliente, o PowerSource, que permitiu um ataque cibernético massivo afetando mais de 60 milhões de estudantes e 9,5 milhões de professores nos EUA. O incidente envolveu ransomware e exposições de dados pessoais sensíveis, desencadeando uma cadeia contínua de extorsão dirigida a escolas e educadores.
Incidente e vulnerabilidade
O vetor de ataque começou com a exploração da plataforma PowerSource, utilizada para suporte dos clientes do Sistema de Informação do Estudante (SIS) da PowerSchool. Essa falha, embora não explicitamente associada a um identificador CVE público, permitiu aos invasores acesso privilegiado a bases massivas de dados pessoais. A invasão culminou na instalação de ransomware, levando à exfiltração de informações sensíveis antes da imposição de um resgate. Apesar do pagamento do resgate pela PowerSchool, segundo relatos, os dados não foram completamente excluídos como prometido pelos criminosos, que continuaram com ameaças de vazamento.
Impacto e resposta
Os dados comprometidos englobaram nomes, datas de nascimento, números de Seguro Social e alertas médicos, variando conforme as configurações de cada instituição. O impacto abrangeu diversas escolas na América do Norte e levou a ameaças diretas contra professores com exigências de pagamentos adicionais. A Toronto District School Board (TDSB) confirmou ter recebido tais demandas, evidenciando que a ameaça permanece ativa.
“Earlier this week, TDSB was made aware that the data was not destroyed. TDSB, along with other North American school boards, received a communication from a threat actor demanding a ransom using data from the previously reported December 2024 incident.”
(“No início desta semana, o TDSB foi informado de que os dados não foram destruídos. O TDSB, junto com outros conselhos escolares da América do Norte, recebeu uma comunicação de um ator da ameaça exigindo um resgate utilizando os dados do incidente reportado em dezembro de 2024.”)— Toronto District School Board (TDSB)
Em resposta, a PowerSchool disponibilizou dois anos de proteção gratuita contra roubo de identidade via Experian, incluindo monitoramento de crédito para adultos e rastreamento do número de Seguro Social e monitoramento na dark web para menores. Ainda assim, autoridades como a Carolina do Norte optaram por não renovar contratos com a PowerSchool, demonstrando apreensão quanto à segurança e a gestão da crise.
Mitigações recomendadas
Especialistas recomendam que instituições afetadas apliquem controles rigorosos de autenticação, monitorem atividades incomuns e treinem suas equipes para identificar tentativas de phishing e extorsão. É crucial que escolas não respondam a comunicações de criminosos e utilizem os serviços de proteção oferecidos para minimizar impactos futuros. O uso imediato de patches e atualizações no sistema PowerSource, junto ao fortalecimento das políticas de acesso e segmentação de rede, são essenciais para prevenir novas invasões.
“Cybercriminals know that if a ransom was paid once, it’s more likely to be paid again. As ransomware shifts from encrypting files to threatening public leaks, extortion becomes the main game.”
(“Cibercriminosos sabem que se um resgate foi pago uma vez, é mais provável que seja pago novamente. À medida que o ransomware muda de criptografar arquivos para ameaçar vazamentos públicos, a extorsão se torna o principal jogo.”)— Gareth Lindahl-Wise, Chief Information Security Officer, Ontinue
Além disso, a continuidade da colaboração com órgãos de segurança e a transparência nas comunicações com as famílias e colaboradores são pontos críticos para a contenção do dano reputacional e operacional.
O incidente exemplifica o risco crescente de ataques híbridos envolvendo ransomware e extorsão pós-vazamento, sublinhando a necessidade de respostas integradas e proativas na cibersegurança do setor educacional.
Fonte: (Hack Read – Segurança Cibernética)
