Press ESC to close

黑客窃取了工程师被入侵电脑中的内部PowerSchool密码

poweschool-dark-photo-tc-3.jpg?w=650

美国教育科技巨头PowerSchool遭受了一次网络攻击和数据泄露事件,该事件于12月28日被发现,可能暴露数千万学生和教师的私人数据。

PowerSchool向客户通报称,此次泄露与分包商账户被破解有关。TechCrunch近日了解到另一起独立的安全事件,涉及一名PowerSchool软件工程师的计算机被感染了恶意软件,窃取了他们的公司凭证,这发生在网络攻击之前。

PowerSchool提到的分包商和TechCrunch提及的工程师不太可能是同一个人。工程师凭证的被盗进一步引发了对PowerSchool安全措施的质疑。去年,PowerSchool以56亿美元的价格被私募巨头贝恩资本收购。

PowerSchool仅公开分享了少量关于网络攻击的信息。随着受影响学区开始通知学生和教师有关数据泄露的情况,公司的网站显示其学校记录软件被北美18,000所学校用于支持超过6000万学生。

在上周与客户共享的一份通信中,TechCrunch看到了PowerSchool确认匿名黑客窃取了学生的敏感个人信息,包括部分学生的社保号码、成绩、人口统计信息和医疗信息。虽然PowerSchool尚未说明受此次网络攻击影响的客户数量,但几个受到攻击的学区告诉TechCrunch他们的日志显示黑客窃取了“所有”的历史学生和教师数据。

一位来自受影响学区的人士告诉TechCrunch,他们有证据表明高度敏感的学生信息在此次泄露中被窃取。该人士举例说明,如家长访问权信息、监护令以及某些学生需要按时服用药物的时间等。

根据TechCrunch的消息来源,PowerSchool告知其客户黑客利用一个与技术支援分包商关联的单个维护账户入侵了公司的系统。在其本周发布的事件页面上,PowerSchool表示在其中一个客户支持门户中发现了未经授权的访问记录。

PowerSchool发言人Beth Keebler周五向TechCrunch确认分包商用于入侵客户支持门户的账户未使用多因素认证(MFA),这是一种广泛使用的安全功能,可以保护账户免受与密码盗窃相关的攻击。Keebler表示MFA已经部署。

PowerSchool正在与调查响应公司CrowdStrike合作调查此次事件,并预计最早周五会发布报告。当通过电子邮件联系时,CrowdStrike将评论转交给PowerSchool。

Keebler告诉TechCrunch公司“无法验证我们的报道准确性”。Keebler表示CrowdStrike初步分析和发现没有证据表明此次事件涉及系统层访问或任何恶意软件、病毒或后门程序。Keebler没有说明是否收到了CrowdStrike的报告以及是否会公开发布其发现结果。

据Keebler透露,正在审查外泄数据并无法估计有多少学生的教师数据受到影响。

PowerSchool密码被盗

TechCrunch的消息来源指出,在网络攻击前,负责网络安全的操作人员从一名PowerSchool工程师的工作计算机中获得了LummaC2信息窃取恶意软件的数据日志。

尚不清楚恶意软件的确切安装时间。消息来源称工程师的密码是在2024年1月或更早时被盗走的。

信息窃取者已成为黑客入侵公司的有效途径之一,尤其是在远程和混合工作模式下流行的情况下。员工使用个人设备访问工作账户为信息窃取者提供了机会,在家中的计算机上安装恶意软件但仍能获得企业级别的凭证访问权限。

TechCrunch看到的日志缓存包含工程师保存在Google Chrome和Microsoft Edge浏览器中的密码、两个浏览器的历史浏览记录以及包含工程师计算机可识别和技术信息的文件。

部分被盗凭证似乎与内部系统相关联。

LummaC2日志显示恶意软件从工程师保存在Google Chrome和Microsoft Edge浏览器中的密码及浏览历史中提取信息,并上传到由恶意软件操作者控制的服务器上。然后这些凭证被分享给更广泛的在线社区包括封闭式的网络犯罪群组,在那里企业账户凭证在网络安全犯罪分子之间买卖交易。

LummaC2日志包含工程师对PowerSchool源代码仓库、Slack消息平台、Jira缺陷跟踪系统以及其他内部系统的访问凭证。工程师的历史浏览记录还显示他们对亚马逊云服务(AWS)上的公司AWS托管S3云存储服务器具有完全访问权限。

TechCrunch未测试任何被盗用户名和密码是否仍在使用或是否受到MFA保护。Keebler表示无法就这些凭证发表评论。(TechCrunch已保护被盗工程师的身份而未使用这些凭证)。该公司称其有强大的密码安全协议包括最小长度和复杂性要求,并且根据NIST建议定期更换密码。该公司表示在此次泄露后已“全面重置了所有客户的登录凭据并进一步加强了所有客户的登录控制”,指的是遭受入侵的那个客户支持门户账号。

据Keebler透露,用于入侵系统的被盗凭证并未授予AWS访问权限,并且包括Slack在内的内部系统都受到MFA保护。

Keebler还透露工程师的工作计算机存储了其他多名PowerSchool员工的不同组别凭据,并且这些凭据似乎允许类似的Slack、源代码仓库及其他内部系统的访问权限。

总结:本文报道了美国教育科技巨头PowerSchool遭受的一次重大网络攻击和数据泄露事件。该事件可能暴露数千万学生和教师的私人数据,并引发了对该公司安全措施的有效性的质疑。文章详细描述了黑客如何利用分包商账户及一名工程师的工作计算机来获取公司内部系统的凭证,并进一步传播给网络犯罪分子。 此总结简洁明了地概述了文章的主要内容,并保持了原文的核心信息。
Fritz Gaylord
Fritz Gaylord

Hi, I’m Fritz Gaylord, Your Blogging Journey Guide 🖋️. Writing, one blog post at a time, to inspire, inform, and ignite your curiosity. Join me as we explore the world through words and embark on a limitless adventure of knowledge and creativity. Let’s bring your thoughts to life on these digital pages. 🌟 #BloggingAdventures

Leave a comment

Your email address will not be published. Required fields are marked *

八盒网 | 科技前沿,IT资讯,AI动态,游戏世界 八盒网 | 科技前沿,IT资讯,AI动态,游戏世界

Hello, We’re content writer who is fascinated by content fashion, celebrity and lifestyle. We helps clients bring the right content to the right people.

Tag Clouds

#TpGS25 #rpg #动作 #人工智能 #OpenAI
@Katen on Instagram
Perfect
New Day
Happy Day
Nature
Morning
Sunset
允许使用 Cookie 将改善您在本网站的体验。 了解更多