Óriási váltságdíj, rengeteg áldozat
A támadók egy alvállalkozó ellopott hozzáférési adataival jutottak be a rendszerbe, majd december 28-án 2,85 millió dollárt (kb. 1,05 milliárd forintot) követeltek Bitcoinban azért, hogy ne hozzák nyilvánosságra a megszerzett adatokat. Az adatbázisban teljes nevek, lakcímek, telefonszámok, jelszavak, szülői és tanári elérhetőségek, társadalombiztosítási számok és egészségügyi adatok is szerepeltek.
Texas nem tűri a hanyagságot
Ken Paxton, Texas főügyésze szerint a PowerSchool megsértette a texasi tisztességtelen kereskedelmi gyakorlatokról szóló törvényt, mivel félrevezette az ügyfeleket adatbiztonsági ígéreteivel, és nem védte megfelelően a rá bízott adatokat. Paxton szerint a nagy technológiai cégeknek nincs helye a gyerekek adatainak profitcélú kezelésében, ha közben a biztonságon spórolnak – ezért mindent megtesznek annak érdekében, hogy felelősségre vonják a vállalatot.
Káosz és duplázott zsarolás
A PowerSchool végül váltságdíjat fizetett a támadónak, aki videóüzenetben azt állította, hogy törölte az adatokat. Májusban azonban egy újabb személy, aki a ShinyHunters nevű csoport tagjának adta ki magát, ismét zsarolni kezdett: újabb pénzt követelt, különben kiszivárogtatja az adatokat. Kiderült, hogy az illető valójában csak felhasználta a korábban ellopott adatokat egy újabb csaláshoz.
Elkövető az iskolapadból
A kibertámadás fő szervezőjeként egy 19 éves massachusettsi egyetemistát, Matthew D. Lane-t azonosították, aki több társával együtt próbált több millió dollárt kicsikarni a PowerSchooltól a diákok és tanárok személyes adatainak felhasználásával. Egy, az iskoláknak küldött jelentés szerint a követelések mögött ismert hackercsoportok álltak.
A PowerSchool a CrowdStrike nevű céget kérte fel a vizsgálat lefolytatására, de a kiberbiztonsági szakértők nem találtak bizonyítékot arra, hogy minden támadásért ugyanaz a személy felelt volna.
