恶意软件偷走了工程师黑客计算机的内部Powerschool密码

在美国Edtech巨头Powerschool的网络攻击和数据泄露，该校园于12月28日被发现，威胁要揭露数千万学童和教师的私人数据。 

Powerschool告诉客户，这种违规与分包商帐户的妥协有关。 TechCrunch本周了解了一个单独的安全事件，涉及一名PowerSchool软件工程师，其计算机感染了恶意软件，该恶意软件在网络攻击之前偷走了公司的凭据。

Powerschool和TechCrunch确定的工程师提到的分包商不太可能是同一个人。工程师的凭证盗窃对Powerschool的安全惯例提出了进一步的怀疑，Powerschool是由私募股权巨头贝恩资本（Bain Capital）以56亿美元的交易收购的。

Powerschool仅公开分享了有关其网络攻击的一些细节，因为受影响的学区开始通知他们的工作数据泄露的TS和老师。该公司的网站说，其学校记录软件由18,000所学校使用，以支持北美超过6000万学生。

在上周与客户分享的沟通中，Powerschool确认了对学生和老师的“敏感个人信息”，包括一些学生的社会安全号码，成绩，人口统计信息和医疗信息。 Powerschool尚未说过有多少客户受到网络攻击的影响，但是受到破坏的几个学区告诉TechCrunch他们的日志表明，黑客偷走了他们的历史学生和老师数据的“全部”。

一个在受影响的学区工作的人告诉TechCrunch，他们有证据表明，有关学生的高度敏感信息在违规中被淘汰。该人举例说明了有关父母访问权利的信息Hildren，包括限制命令，以及有关某些学生何时需要服药的信息。受影响学区的其他人告诉TechCrunch，被盗的数据将取决于每个学校添加到其Powerschool Systems的内容。

根据与TechCrunch交谈的消息来源，Powerschool告诉其客户，黑客使用与PowerSchool的技术支持分包商相关的单个受损的维护帐户闯入了公司系统。 Powerschool在本周启动的事件页面上说，它确定了其中一个客户支持门户中未经授权的访问。

Powerschool发言人Beth Keebler周五向TechCrunch确认了用于违反客户支持门户网站的分包商帐户不受多因素身份验证的保护，这是一种广泛使用的安全性功能，可以帮助保护帐户免受与密码盗窃链接的黑客攻击。 Powerschool Sai此后，D MFA已推出。

Powerschool正在与事件响应公司CrowdStrike合作调查违规行为，预计将在周五发布报告。当通过电子邮件到达时，CrowdStrike将评论推迟到Powerschool。

Keebler告诉TechCrunch，该公司“无法验证我们报告的准确性”。 Keebler告诉TechCrunch：“ CrowdStrike的初步分析和发现没有证据表明与此事件相关的系统层访问，也没有任何恶意软件，病毒或后门。” Powerschool不会说是否收到了CrowdStrike的报告，也不会说是否计划公开发布其调查结果。

Powerschool表示，其对渗透数据的审查正在进行中，并且没有提供对数据受到影响的学生和老师的数量的估计。

根据了解网络犯罪行动的来源，日志在PowerSchool工作的工程师的计算机上，他们的设备在网络攻击之前被多产的Lummac2 Infosealing恶意软件入侵。

目前尚不清楚何时安装恶意软件。消息人士说，密码是在2024年1月或更早的工程师计算机上被盗的。

InfoStealers已成为黑客闯入公司的越来越有效的途径，尤其是随着远程和混合工作的兴起，这通常允许员工使用其个人设备来访问工作帐户。正如Wired所解释的那样，这为InfoSteal恶意软件安装在某人家用计算机上的机会创造了机会，但最终仍然获得了能够访问公司的证书，因为该员工也已登录其工作系统。 

TechCrunch看到的Lummac2日志的缓存包括工程师的密码，来自两个网络浏览器的浏览历史记录以及一个包含识别的文件E和有关工程师计算机的技术信息。

一些被盗的凭据似乎与Powerschool的内部系统有关。

日志显示，恶意软件从其Google Chrome和Microsoft Edge浏览器中提取了工程师保存的密码和浏览历史记录。然后，恶意软件将日志的缓存（包括工程师的被盗凭据）上传到由恶意软件运营商控制的服务器。从那里，这些证书与更广泛的在线社区共享，包括关闭的网络犯罪电报组，在网络犯罪分子之间出售和交易公司帐户密码和凭据。

恶意软件日志包含Powerschool源代码存储库的工程师密码，其Slack Messaging平台，其错误和问题跟踪的JIRA实例以及其他内部系统。工程师的浏览历史也表明他们可以广泛访问POWerschool在Amazon Web Services上的帐户，其中包括完全访问该公司AWS托管的S3云存储服务器。

我们不是在命名工程师，因为没有证据表明他们做错了什么。正如我们之前指出的关于在类似情况下的违规行为的那样，公司最终有责任执行辩护并执行安全政策，以防止因员工资格盗窃而造成的入侵。

当TechCrunch询问Powerschool的Keebler时，他说，被妥协的证书被用来违反Powerschool的系统的人无法访问AWS，并且Powerschool的内部系统（包括Slack and AWS）受到MFA的保护。

工程师的计算机还存储了TechCrunch所看到的其他PowerSchool员工的几套凭据。这些凭据似乎允许类似地访问该公司的Slack，源代码REP体和其他内部公司系统。

我们在日志中看到的数十个Powerschool证书中，许多人的复杂性既短又基本，有些仅由几个字母和数字组成。 PowerSchool使用的几个帐户密码匹配了以前数据泄露中已经妥协的凭据，根据我一直在PWNEND的更新列表。

TechCrunch没有在任何Powerschool系统上测试被盗的用户名和密码，因为这样做是非法的。因此，无法确定是否有任何凭据仍在积极使用中，或者是否受到MFA的保护。PowerSchool表示，如果不看到密码，就无法对密码发表评论。 （TechCrunch扣留了保护入侵工程师的身份的证书。）该公司表示，它具有“为密码安全性制定了强大的协议，包括最小长度和复杂性要求，并且密码旋转与NIST建议保持一致。”该公司表示，在违规之后，PowerSchool“进行了完整的密码重置，并进一步收紧了密码和所有PowerSource客户支持门户帐户的访问控制”，指的是违反的客户支持门户。

Powerschool表示，它对员工和承包商都使用单一签名技术和MFA。该公司表示，为承包商提供了带有安全控制的虚拟桌面环境的笔记本电脑或访问权限，例如反恶意软件和连接到公司系统的VPN。

有关Powerschool的数据泄露及其随后对事件的处理仍然存在的问题，因为受影响的学区继续评估其当前和以前的学生和工作人员中有多少人在漏洞中被盗。

受Powerschool漏洞影响的学区的员工告诉TechCrunch，他们依靠众包的努力其他学区和客户帮助管理员搜索其PowerSchool Log文件以获取数据盗用的证据。

在出版时，如果没有公司网站的客户登录，Powerschool就无法访问有关漏洞的文档。

Carly页面贡献了报告。

+1 646-755-8849与Zack Whittaker牢固地与Signal和WhatsApp牢固联系，并且可以在+44 1536 853968的信号上安全地与Carly Page联系。您还可以通过Securedrop与TechCrunch安全地共享文档。