Matthew D. Lane, étudiant de 19 ans, de Worcester, Massachusetts, a été condamné à 4 ans de prison pour avoir orchestré une cyberattaque contre PowerSchool en décembre 2024 qui a entraîné une violation massive des données.
PowerSchool est un fournisseur de solutions logicielles basées sur le cloud pour les écoles et les districts de la maternelle à la 12e année, avec plus de 18 000 clients dans le monde entier et prenant en charge plus de 60 millions d’élèves.
Selon des documents judiciaires, la juge de district américaine Margaret R. Guzman a condamné Lane à quatre ans de prison mardi et lui a ordonné de payer 14 millions de dollars de dédommagement et une amende de 25 000 dollars.
Lane a plaidé coupable en mai 2025 à quatre accusations fédérales d’un chef d’accusation chacune d’accès non autorisé à des ordinateurs protégés, de complot de cyber-extorsion, de cyber-extorsion et de vol d’identité aggravé.
Comme l’a déclaré le département américain de la Justice en mai, Lane et ses complices ont utilisé des informations d’identification volées à un sous-traitant pour violer le portail de support client PowerSource du géant des logiciels éducatifs le 19 décembre 2024, et un outil de maintenance pour télécharger les bases de données scolaires contenant les informations personnelles de 9,5 millions d’enseignants et 62,4 millions d’élèves de 6 505 districts scolaires à travers le monde.
Après avoir volé un large éventail de données sensibles appartenant aux étudiants et aux professeurs, y compris les noms complets, adresses physiques, numéros de téléphone, mots de passe, informations sur les parents, coordonnées, Numéros de sécurité sociale et données médicales des étudiants et des professeurs touchés, ils ont envoyé des demandes de rançon pour 2,85 millions de dollars en Bitcoin le 28 décembre.
Ces lettres de rançon prétendaient provenir de Shiny Hunters, un groupe de menaces notoire lié à de nombreuses violations, notamment la violation de données AT&T de 2022 qui a touché 109 millions de personnes, les attaques de vol de données SnowFlake et une vague de violations de Salesforce.
Bien que PowerSchool ait payé une rançon pour empêcher la fuite de données, on ne sait toujours pas combien a été payé. Même s’ils ont été payés, Lane et ses co-conspirateurs ont toujours tenté d’extorquer individuellement les districts scolaires concernés pour qu’ils paient des rançons supplémentaires afin d’éviter les fuites de données sur les élèves.
En mars, PowerSchool a également révélé que des acteurs de la menace avaient déjà violé PowerSource en août et septembre 2024, en utilisant les mêmes informations d’identification compromises, mais une enquête de CrowdStrike sur les incidents n’a trouvé aucune preuve liant le même attaquant aux trois violations.
Le mois dernier, le procureur général du Texas, Ken Paxton, a poursuivi PowerSchool pour ne pas avoir protégé les données appartenant aux familles et aux districts scolaires du Texas, et pour avoir trompé les clients sur ses pratiques de sécurité.