Le District scolaire unifié de Los Angeles a confirmé une violation de données après que des acteurs de la menace ont volé les données des étudiants et des employés en piratant le compte Snowflake de l’entreprise.

SnowFlake est une plate-forme de base de données cloud utilisée par certaines des plus grandes entreprises du monde entier pour stocker leurs données.

Plus tôt ce mois-ci, un acteur menaçant a commencé à vendre des données provenant de nombreuses entreprises, notamment TicketMaster, Satandar Bank, Advance Auto Parts et Pure Storage, le pirate déclarant qu’elles avaient été volées à SnowFlake.

Une enquête conjointe menée par SnowFlake, Mandiant et CrowdStrike a révélé qu’un acteur de la menace, suivi sous le numéro UNC5537, a utilisé des informations d’identification volées de clients pour cibler au moins 165 organisations qui n’avaient pas configuré de protection d’authentification multifacteur sur leurs comptes.

Une fois qu’ils ont accédé aux comptes, ils ont téléchargé toutes les données et ont tenté d’extorquer l’entreprise en échange de ne pas vendre ou divulguer les données à d’autres cybercriminels.

LAUSD vendu sur un forum de hackers
Le 18 juin, l’acteur de la menace connu sous le nom de « Sp1d3r », qui vend les données des précédentes attaques de SnowFlake, a également commencé à vendre les données de Los Angeles Unified pour 150 000 DOLLARS, affirmant les avoir volées à SnowFlake.

Données de flocon de neige LAUSD à vendre sur un forum de piratage

L’auteur de la menace déclare que ces données contiennent les noms des élèves, les adresses, les noms de famille, les données démographiques, les données financières, les notes, les notes de performance, les informations sur l’invalidité, les détails de la discipline et les informations sur les parents.

Après avoir examiné un échantillon des données, LAUSD a confirmé à Breachtrace que les données avaient été volées sur son compte SnowFlake.

« Comme indiqué précédemment, le 6 juin 2024, Los Angeles Unified a pris connaissance d’un compte d’un acteur malveillant prétendant proposer à la vente certaines données d’étudiants et d’employés », a déclaré un porte-parole de Los Angeles Unified à Breachtrace .

« Grâce à son enquête approfondie et en cours, le District a déterminé que les données en question étaient gérées par un ou plusieurs fournisseurs externes unifiés de Los Angeles sur Snowflake, une plate-forme basée sur le cloud utilisée pour le stockage de données de masse, et semblent avoir été volées d’une manière compatible avec les vols récemment annoncés impliquant de nombreux comptes Snowflake. »

« Jusqu’à présent, l’enquête en cours du district n’a révélé aucune preuve de compromission de nos systèmes ou réseaux; cependant, l’enquête sur la portée et l’étendue des données affectées est en cours. »

Los Angeles Unified dit qu’ils travaillent avec le FBI, la CISA et ses fournisseurs pour enquêter davantage sur l’incident.

Plus d’un acteur de la menace a apparemment eu accès aux données de Los Angeles Unified, car un autre acteur de la menace nommé « Satanic » a commencé à vendre les données du district près de deux semaines plus tôt, le 6 juin, pour 1 000 dollars.

Cependant, ces données semblent être différentes des données volées à SnowFlake, l’acteur menaçant affirmant qu’elles contiennent 26 millions d’enregistrements contenant des informations sur les étudiants actuels et anciens, plus de 24 000 dossiers d’enseignants et environ 500 contenant des informations sur le personnel.

Données présumées volées par LAUSD pour la vente en ligne

Cet acteur de la menace l’a maintenant publié gratuitement, permettant à tout cybercriminel de le télécharger et de l’utiliser dans ses propres attaques.

Cependant, on ne sait pas d’où proviennent ces données, car elles ne semblent pas provenir de SnowFlake.

Breachtrace a contacté LAUSD hier soir pour confirmer l’origine des données divulguées par « Satanic » mais n’a pas reçu de réponse.

À ce stade, avec la quantité massive de données de LAUSD désormais partagées sur des forums de piratage, tous ses étudiants, enseignants et membres du personnel devraient considérer leurs données exposées.

Comme il n’est pas rare que d’autres acteurs de la menace utilisent des données divulguées dans leurs campagnes, il est essentiel de rester vigilant contre les courriels, SMS et appels téléphoniques non sollicités qui tentent de voler des données supplémentaires, telles que des mots de passe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *