PowerSchool avertit que le pirate informatique à l’origine de sa cyberattaque de décembre extorque maintenant individuellement les écoles, menaçant de divulguer les données précédemment volées des élèves et des enseignants si une rançon n’est pas payée.
« PowerSchool est conscient qu’un acteur menaçant a contacté plusieurs clients du district scolaire pour tenter de les extorquer en utilisant les données de l’incident de décembre 2024 précédemment signalé », a déclaré PowerSchool dans une déclaration à Breachtrace.
« Nous ne pensons pas qu’il s’agisse d’un nouvel incident, car des échantillons de données correspondent aux données précédemment volées en décembre. Nous avons signalé ce problème aux forces de l’ordre aux États-Unis et au Canada et travaillons en étroite collaboration avec nos clients pour les soutenir. Nous regrettons sincèrement ces développements – cela nous fait mal que nos clients soient menacés et revictimisés par de mauvais acteurs. »
PowerSchool s’est excusé pour les menaces continues causées par la violation et a déclaré qu’il continuerait à travailler avec les clients et les forces de l’ordre pour répondre aux tentatives d’extorsion.
La société recommande également aux étudiants et aux professeurs de profiter des deux années gratuites de surveillance du crédit et de protection de l’identité pour se protéger contre la fraude et le vol d’identité. Vous trouverez plus de détails à ce sujet dans la FAQ sur les incidents de sécurité de l’entreprise.
PowerSchool a également réfléchi à son choix de payer la demande de rançon, déclarant que c’était une décision difficile mais espérant que cela protégerait ses clients.
« Toute organisation confrontée à une attaque de ransomware ou d’extorsion de données a une décision très difficile et réfléchie à prendre lors d’un cyberincident de cette nature. Dans les jours qui ont suivi notre découverte de l’incident de décembre 2024, nous avons pris la décision de payer une rançon parce que nous pensions que c’était dans le meilleur intérêt de nos clients et des étudiants et communautés que nous servons », a poursuivi le communiqué de PowerSchool.
« Ce fut une décision difficile, que notre équipe de direction n’a pas prise à la légère. Mais nous pensions que c’était la meilleure option pour empêcher que les données ne soient rendues publiques, et nous avons estimé qu’il était de notre devoir de prendre cette mesure. Comme c’est toujours le cas dans ces situations, il y avait un risque que les mauvais acteurs ne suppriment pas les données qu’ils ont volées, malgré les assurances et les preuves qui nous ont été fournies. »
La violation de données PowerSchool
En janvier, PowerSchool a révélé qu’elle avait subi une violation de son portail de support client PowerSource par le biais d’informations d’identification compromises. En utilisant cet accès, les auteurs de la menace ont utilisé un outil de maintenance à distance PowerSource pour se connecter aux bases de données PowerSchool du district scolaire et les télécharger.
Ces bases de données contenaient des informations différentes selon le district, y compris les noms complets des étudiants et des professeurs, les adresses physiques, les numéros de téléphone, les mots de passe, les informations sur les parents, les coordonnées, les numéros de sécurité sociale, les données médicales et les notes.
La violation a été initialement détectée le 28 décembre 2024, mais l’entreprise a révélé plus tard qu’elle avait été violée des mois plus tôt, en août et septembre 2024, en utilisant les mêmes informations d’identification compromises.
Comme l’a signalé pour la première fois Breachtrace, le pirate informatique a affirmé avoir volé les données de 62,4 millions d’élèves et de 9,5 millions d’enseignants pour 6 505 districts scolaires aux États-Unis, au Canada et dans d’autres pays.
En réponse à la violation, PowerSchool a payé une rançon pour empêcher la publication des données volées et a reçu une vidéo de l’auteur de la menace affirmant que les données avaient été supprimées. Cependant, il apparaît maintenant que l’acteur menaçant n’a pas tenu sa promesse.
Les experts en sécurité et les négociateurs de ransomwares déconseillent depuis longtemps aux entreprises de payer une rançon pour empêcher la fuite de données, car les auteurs de menaces ne tiennent de plus en plus leur promesse de supprimer les données volées.
Contrairement à une clé de déchiffrement, dont les entreprises peuvent confirmer le fonctionnement, il n’existe aucun moyen de vérifier de manière adéquate que les données sont supprimées comme promis.
Cela a récemment été vu dans l’attaque de ransomware Change Healthcare de UnitedHealth, dans laquelle ils ont payé une rançon au gang de ransomwares BlackCat pour recevoir un décrypteur et ne pas divulguer de données.
Cependant, après que BlackCat ait sorti une arnaque de sortie, l’affilié à l’origine de l’attaque a déclaré qu’il disposait toujours des données et a de nouveau extorqué UnitedHealth.
On pense que UnitedHealth a payé une deuxième rançon pour empêcher à nouveau la fuite des données.