Amerika Birleşik Devletleri’nin en büyük eğitim teknolojisi şirketlerinden biri olan PowerSchool’da, 28 Aralık’ta keşfedilen bir siber saldırı ve veri ihlali, on milyonlarca öğrenci ve öğretmenin özel verilerini tehlikeye atıyor.
PowerSchool, müşterilerine yaptığı açıklamada, ihlalin bir alt yüklenicinin hesaplarının ele geçirilmesi ile bağlantılı olduğunu belirtti. TechCrunch, bu hafta ayrıca, bir PowerSchool yazılım mühendisine ait bilgisayarın zararlı yazılımlarla enfekte olduğunu ve bu durumun şirket kimlik bilgilerinin çalınmasına neden olduğunu öğrendi.
Hassas Verilerin Tehdit Altında Olması
PowerSchool’un bahsettiği alt yüklenici ile TechCrunch tarafından tanımlanan mühendis aynı kişi olmasa da, mühendisin kimlik bilgilerinin çalınması, PowerSchool’un güvenlik uygulamaları hakkındaki endişeleri artırıyor. Şirket, geçtiğimiz yıl 5.6 milyar dolarlık bir anlaşmayla özel sermaye şirketi Bain Capital tarafından satın alındı.
PowerSchool, siber saldırı hakkında kamuoyuna yalnızca birkaç ayrıntı paylaştı ve etkilenen okul bölgeleri, öğrenci ve öğretmenlere veri ihlali konusunda bildirimde bulunmaya başladı. Şirketin web sitesi, okul kayıtları yazılımının Kuzey Amerika’daki 18,000 okulda, 60 milyondan fazla öğrenci tarafından kullanıldığını söylüyor.
Verilerin Çalınması ve Tepkiler
PowerSchool, yaptığı iletişimde, hackerların “öğrenciler ve öğretmenler hakkında hassas kişisel bilgilerin” çalındığını doğruladı. Bu bilgiler arasında bazı öğrencilerin Sosyal Güvenlik numaraları, notları, demografik verileri ve sağlık bilgileri yer alıyor. Şirket, siber saldırıdan etkilenen müşteri sayısını henüz açıklamadı, ancak bazı okul bölgeleri, hackerların “tüm” geçmiş öğrenci ve öğretmen verilerini çaldığını bildirdi.
Etkilenen bir okul bölgesinde çalışan bir kişi, belirtilen hassas bilgilerin ihlalde çalındığına dair kanıtlar olduğunu TechCrunch’a aktardı. Örneğin, çocuklarına erişim hakları ile ilgili bilgiler, kısıtlama emirleri ve bazı öğrencilerin ilaç alım zamanları gibi bilgiler bu kapsamda yer alıyor. Diğer etkilenen okul bölgeleri, çalınan verilerin, her öğrencinin PowerSchool sistemlerine eklediği bilgilere bağlı olacağını ifade etti.
Güvenlik Açıkları ve Önlemler
TechCrunch ile konuşan kaynaklar, PowerSchool’un müşterilerine, hackerların sisteme, PowerSchool’a ait bir teknik destek alt yüklenicisine bağlı bir bakım hesabının ele geçirilmesi yoluyla girdiğini söyledi. Şirket, bu hafta başlattığı saldırı sayfasında, yetkisiz erişimi bir müşteri destek portalında tespit ettiklerini bildirdi.
PowerSchool sözcüsü Beth Keebler, geçtiğimiz Cuma günü, ihlalde kullanılan alt yüklenici hesabının çok faktörlü kimlik doğrulama ile korunmadığını onayladı. Bu, şifre hırsızlığı ile bağlantılı saldırılara karşı koruma sağlayabilen yaygın bir güvenlik özelliğidir. PowerSchool, çok faktörlü kimlik doğrulamanın (MFA) artık uygulanmaya başladığını duyurdu.
PowerSchool, siber saldırıyı incelemek üzere CrowdStrike ile çalıştığını belirtti ve bir raporun en geç Cuma günü yayınlanmasının beklendiğini söyledi. Sorulduğunda, CrowdStrike yorum yapmayı PowerSchool’a bıraktı.
Keebler, şirketin “raporun doğruluğunu teyit edemeyeceğini” ifade etti. Ayrıca, CrowdStrike’ın ilk analizinin, bu olayla bağlantılı sistem tabanlı bir erişim veya herhangi bir zararlı yazılım/virüs ya da geri kapı ile ilgili kanıt göstermediğini bildirdi. PowerSchool, CrowdStrike’dan aldığı raporu alıp almadığına dair bir bilgi vermezken, bulgularını kamuya açıklayıp açıklamayacağı konusunda da bir yanıt vermedi.
PowerSchool, ele geçirilen verilerin incelenmesinin devam ettiğini belirtti ve etkilenen öğrenci ve öğretmen sayısına dair bir tahminde bulunmadı.
Malware ile Kimlik Bilgilerinin Çalınması
Bir kaynağa göre, PowerSchool’un bir mühendisinin bilgisayarındaki günlüklerde, bu kişinin LummaC2 isimli zararlı yazılımların yardımıyla hacklendiği görülüyor. Malware’in ne zaman yüklendiği tam olarak net değil. Kaynağın söylediğine göre, şifrelerin 2024 Ocak ayında veya daha önce çalındığı belirtiliyor.
Zararlı yazılımlar, çalışanların kişisel cihazları aracılığıyla iş hesaplarına erişimini sağladığı için siber suçluların şirketlere girmesinde giderek daha etkili bir yol haline geliyor. Wired dergisi, bu durumun, bir çalışanın evinden erişim sağlamasına olanak tanıdığını vurguluyor.
TechCrunch’ın gördüğü LummaC2 günlüklerinde, mühendisin şifreleri ve iki web tarayıcısındaki gezinti geçmişiyle birlikte bilgisayarı hakkında tanımlayıcı ve teknik bilgileri içeren bir dosya yer alıyor. Çalınan bazı kimlik bilgilerinin, PowerSchool’un iç sistemlerine ait olduğu belirtiliyor.
Günlüklerde, malware’nin mühendisin Google Chrome ve Microsoft Edge tarayıcılarından kaydedilen şifrelerini çaldığı görülüyor. Malware, ardından bu bilgileri, zararlıyı kontrol eden sunuculara yükledi. Çalınan kimlik bilgilerinin bazıları, siber suçlular arasında satışa sunulmuş durumda.
Bu günlükler, mühendisin şifrelerini, PowerSchool’un kaynak kodu havuzlarına, Slack mesajlaşma platformuna, Jira hata izleme sistemine ve diğer iç sistemlerine erişim sağladığını gösteriyor. Mühendisin tarayıcı geçmişi, PowerSchool’un Amazon Web Services (AWS) hesabına erişiminin bulunduğunu da ortaya koyuyor.
İsim vermeden ifade etmek gerekirse, bu mühendisle ilgili bir yanlış yapıldığına dair bir kanıt yok. Ancak benzer durumlarda vurguladığımız gibi, şirketler, çalışan kimlik bilgilerinin çalınması sonucu yaşanan ihlalleri önlemek için güvenlik politikaları uygulamalıdır.
PowerSchool’a sorduğumuzda, Keebler, ihlalde kullanılan kıymetli şifrelerin, mühendisin AWS’ye erişimin olmadığını söyledi. Şirketin iç sistemleri, Slack ve AWS için çok faktörlü kimlik doğrulama ile korunmaktadır. Mühendisin bilgisayarında, diğer PowerSchool çalışanlarına ait birçok farklı kimlik bilgisi de yer almakta. Bu bilgiler, şirketin Slack ve diğer iç sistemlerine benzer erişim imkanı sunuyor.
Elimizde bulunan günlüklerdeki PowerSchool kimlik bilgilerinin çoğunun basit ve kısa olduğu görülüyor, bazıları sadece birkaç harf ve sayıdan oluşuyor. Ayrıca, TechCrunch tarafından ele geçirilen şifreler, daha önceki data ihlallerinde çalınmış olan kimlik bilgileriyle eşleşiyor.
TechCrunch, ele geçirilen kullanıcı adlarını ve şifreleri herhangi bir PowerSchool sistemi üzerinde denemedi. Çünkü bu, yasadışı bir eylem olarak değerlendiriliyor. Bu nedenle, bu kimlik bilgilerinin halen aktif kullanılıp kullanılmadığını ve MFA ile korunup korunmadığını belirlemek mümkün değil. PowerSchool, şifreler hakkında yorum yapmayı reddetti, güvenlik protokolleri hakkında ise şunları belirtti: “Şifre güvenliği için yeterli önlemlerimiz bulunmaktadır. Minimum uzunluk ve karmaşıklık gerekliliklerimizi titizlikle uygulamaktayız. Şifrelerimiz NIST önerileri doğrultusunda düzenli olarak değiştirilmekte.”
PowerSchool ayrıca, çalışanlar ve yükleniciler için tek oturum açma (SSO) teknolojisi ve MFA kullanıldığını bildirdi. Yüklenicilere, güvenlik kontrolleri içeren bilgisayarlar veya sanal masaüstü ortamına erişim sağlanmaktadır.
PowerSchool’un veri ihlali ile ilgili sorular devam ederken, etkilenen okul bölgeleri, kendi geçmiş verilerini ve öğretmenlerin kişisel verilerinin çalındığını değerlendirmeye devam ediyor. Kimlik bilgileri çalınan okul bölgelerinde çalışanlar, PowerSchool’un log dosyalarını taramak için diğer okul bölgeleriyle birlikte çabalarını birleştirdiklerini belirtiyorlar.
Yazının yayınlandığı sırada, PowerSchool’un ihlale ilişkin dokümantasyonuna erişim sağlamak için müşteri girişi gereklidir.
Carly Page, habere katkıda bulundu.
Güvenli bir şekilde Zack Whittaker ile iletişime geçmek için Signal ve WhatsApp üzerinden +1 646-755-8849, Carly Page ile +44 1536 853968 üzerinden iletişime geçebilirsiniz. Ayrıca TechCrunch ile belgeleri güvenli bir şekilde SecureDrop üzerinden paylaşabilirsiniz.
