Kaip PowerSchool duomenų pažeidimo aukos padėjo viena kitai ištirti „didžiulį“ įsilaužimą

Kaip PowerSchool duomenų pažeidimo aukos padėjo viena kitai ištirti „didžiulį“


Sausio 7 d., 23.10 val. Dubajuje, Romy Backus gavo el. laišką iš švietimo technologijų milžinės PowerSchool, kuriame jai buvo pranešta, kad mokykla, kurioje ji dirba, buvo viena iš duomenų pažeidimo, kurį bendrovė atrado gruodžio 28 d., aukų. PowerSchool pranešė, kad įsilaužėliai turėjo prieigą prie debesų sistemos, kurioje buvo saugoma daugybė mokinių ir mokytojų asmeninės informacijos, įskaitant socialinio draudimo numerius, medicininę informaciją, pažymius ir kitus asmeninius duomenis iš mokyklų visame pasaulyje. pasaulis.

Atsižvelgiant į tai, kad „PowerSchool“ save vadina didžiausia debesijos pagrindu veikiančios švietimo programinės įrangos tiekėja vidurinio amžiaus mokykloms (maždaug 18 000 mokyklų ir daugiau nei 60 mln. mokinių) Šiaurės Amerikoje, todėl poveikis gali būti „didžiulis“, nes vienas technologijų darbuotojas paveiktoje mokykla pasakojo „TechCrunch“. Šaltiniai mokyklų rajonuose, kuriuos paveikė incidentas, „TechCrunch“ teigė, kad įsilaužėliai pasiekė „visus“ mokinių ir mokytojų istorinius duomenis, saugomus jų PowerSchool teikiamose sistemose.

Backus dirba Amerikos mokykloje Dubajuje, kur ji valdo mokyklos PowerSchool SIS sistemą. Mokyklos naudoja šią sistemą – tą pačią sistemą, į kurią buvo įsilaužta – mokinių duomenims, pvz., pažymiams, lankomumui, registracijai, tvarkyti, taip pat jautresnei informacijai, pvz., mokinių socialinio draudimo numeriams ir medicininiams įrašams.

Kitą rytą, gavusi el. laišką iš PowerSchool, Backus pasakė, kad nuėjo pas savo vadovą, suaktyvino mokyklos protokolus duomenų pažeidimams tvarkyti ir pradėjo tirti pažeidimą, kad tiksliai suprastų, ką įsilaužėliai pavogė iš jos mokyklos, nes PowerSchool nepateikė. bet kokią informaciją, susijusią su jos mokykla, jos atskleidimo el.

„Pradėjau kasti, nes norėjau sužinoti daugiau“, – „TechCrunch“ pasakojo Backusas. „Tiesiog pasakyk man, kad gerai, mes buvome paveikti. Puiku. Na, kas paimta? Kada buvo paimta? Kaip tai blogai?”

„Jie nebuvo pasirengę suteikti mums jokios konkrečios informacijos, kurios klientams reikėjo, kad galėtume atlikti mūsų pačių kruopštumą“, – sakė B. Backus.

Netrukus po to Backus suprato, kad kiti „PowerSchool“ naudojančių mokyklų administratoriai bandė rasti tuos pačius atsakymus.

„Kai kurie iš jų buvo susiję su painia ir nenuoseklia komunikacija, kuri kilo iš PowerSchool“, – sakė vienas iš pusšimčio mokyklos darbuotojų, kalbėjusių su „TechCrunch“, su sąlyga, kad nebus įvardijami nei jie, nei jų mokyklos rajonas.

„(PowerSchool) garbei, jie iš tikrųjų labai greitai apie tai įspėjo savo klientus, ypač žiūrint į technologijų pramonę kaip visumą, tačiau jų komunikacijoje trūko jokios veiksmingos informacijos, o blogiausiu atveju jis buvo klaidinantis, o geriausiu atveju – klaidinantis. pasakė žmogus.

Susisiekite su mumis

Ar turite daugiau informacijos apie „PowerSchool“ pažeidimą? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram ir Keybase @lorenzofb arba el. paštu. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.

Ankstyvomis valandomis po PowerSchool pranešimo mokyklos stengėsi išsiaiškinti pažeidimo mastą arba net ar jis apskritai buvo pažeistas. „PowerSchool“ klientų el. pašto adresų sąrašai, kuriuose jie paprastai dalijasi informacija tarpusavyje, „sprogo“, kaip „TechCrunch“ pasakė Adamas Larsenas, Oregono valstijos 220 bendruomenės skyriaus mokyklos viršininko padėjėjas.

Bendruomenė greitai suprato, kad yra vieni. „Mums reikia, kad mūsų draugai veiktų greitai, nes šiuo metu jie negali pasitikėti PowerSchool informacija“, – sakė Larsenas.

„Buvo daug panikos ir neperskaičius to, kas jau buvo pasidalinta, o paskui vėl ir vėl užduodant tuos pačius klausimus“, – sakė Backus.

Dėka savo įgūdžių ir žinių apie sistemą, Backus sakė, kad ji sugebėjo greitai išsiaiškinti, kokie duomenys buvo pažeisti jos mokykloje, ir pradėjo lyginti pastabas su kitais darbuotojais iš kitų paveiktų mokyklų. Kai ji suprato, kad pažeidimas turi tam tikrą modelį ir įtaręs, kad taip gali nutikti ir kitiems, Backus nusprendė parengti vadovą su išsamia informacija, tokia kaip konkretus IP adresas, kurį įsilaužėliai naudojo, kad įsilaužė į mokyklas, ir veiksmai. imtis tirti įvykį ir nustatyti, ar nebuvo pažeista sistema, bei kokie konkretūs duomenys buvo pavogti.

Sausio 8 d., 16.36 val. Dubajaus laiku, praėjus mažiau nei 24 valandoms po to, kai PowerSchool pranešė visiems klientams, Backus pasakė, kad grupiniuose pokalbiuose su kitais „PowerSchool“ administratoriais, gyvenančiais Europoje ir Viduriniuose Rytuose, išsiuntė bendrinamą „Google“ dokumentą „WhatsApp“. informacijos ir išteklių, kad padėtų vieni kitiems. Vėliau tą pačią dieną, pokalbio su daugiau žmonių ir patobulinusi dokumentą, Backus pasakė, kad paskelbė jį PowerSchool vartotojų grupėje, neoficialiame PowerSchool vartotojų palaikymo forume, kuriame yra daugiau nei 5000 narių.

Nuo tada dokumentas buvo reguliariai atnaujinamas ir išaugo iki beveik 2 000 žodžių, o tai veiksmingai paplito PowerSchool bendruomenėje. Pasak Backus, kuris sukūrė Bit.ly trumpąją nuorodą, leidžiančią pamatyti, kiek žmonių spustelėjo nuorodą, iki penktadienio dokumentas buvo peržiūrėtas daugiau nei 2500 kartų. Keli žmonės viešai bendrino visą dokumento žiniatinklio adresą „Reddit“ ir kitose uždarose grupėse, todėl greičiausiai dokumentą matė daug daugiau. Rašymo metu dokumentą žiūrėjo apie 30 žiūrovų.

Tą pačią dieną, kai Backus pasidalino savo dokumentu, Larsenas paskelbė atvirojo kodo įrankių rinkinį ir mokomąjį vaizdo įrašą, siekdamas padėti kitiems.

„Backus“ dokumentas ir Larseno įrankiai yra pavyzdys, kaip mokyklų, į kurias buvo įsilaužta, bendruomenė – ir tų, kurios iš tikrųjų nebuvo įsilaužtos, bet apie kurias vis tiek pranešė „PowerSchool“ – susibūrė palaikyti vieni kitus. Anot pusšimčio bendruomenėje dalyvavusių nukentėjusių mokyklų darbuotojų, mokyklų darbuotojai turėjo padėti vieni kitiems ir reaguoti į pažeidimą pasitelkdami solidarumo ir būtinybės skatinamus veiksmus dėl lėto ir neišsamaus PowerSchool atsako. pastangas ir papasakojo apie savo patirtį naudojant „TechCrunch“.

Keletas kitų mokyklų darbuotojų palaikė vieni kitus keliose Reddit gijose. Kai kurie iš jų buvo paskelbti K-12 sistemų administratorių subreddite, kur vartotojai turi būti patikrinti ir patvirtinti, kad galėtų skelbti.

Dougas Levinas, ne pelno organizacijos, padedančios mokykloms kibernetinio saugumo srityje, K12 Security Information eXchange (K12 SIX), kuris paskelbė savo DUK apie PowerSchool įsilaužimą, vienas iš įkūrėjų ir nacionalinis direktorius, sakė TechCrunch, kad toks atviras bendradarbiavimas yra įprastas bendruomenė, tačiau „PowerSchool incidentas yra toks platus, kad jis yra akivaizdesnis“.

„Pats sektorius yra gana didelis ir įvairus – ir apskritai mes dar nesukūrėme dalijimosi informacija infrastruktūros, kuri egzistuoja kibernetinio saugumo incidentams skirtuose sektoriuose“, – sakė Levinas.

Levinas pabrėžė, kad švietimo sektorius turi pasikliauti atviru bendradarbiavimu neoficialesniais, kartais viešais kanalais, nes mokyklose paprastai trūksta IT darbuotojų ir specialistų kibernetinio saugumo srityje.

Kitas mokyklos darbuotojas „TechCrunch“ sakė, kad „tiek daug mūsų neturime visų kibernetinio saugumo išteklių, reikalingų reaguoti į incidentus, finansavimo, todėl turime susivienyti“.

„PowerSchool“ atstovė spaudai Beth Keebler „TechCrunch“ pasakė: „Mūsų PowerSchool klientai yra stiprios saugumo bendruomenės, kuri yra pasišventusi dalytis informacija ir padėti vieni kitiems, dalis. Esame dėkingi už klientų kantrybę ir nuoširdžiai dėkojame tiems, kurie puolė padėti savo bendraamžiams dalindamiesi informacija. Mes ir toliau darysime tą patį“.

Papildoma Carly Page ataskaita.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -