Ein Hacker hat den US-EdTech-Riesen PowerSchool Monate vor dem massiven Datenverstoß im Dezember kompromittiert, wie aus einem nun veröffentlichten forensischen Bericht des US-amerikanischen Cybersicherheitsunternehmens CrowdStrike hervorgeht.
In einem an betroffene Kunden letzte Woche gesendeten Schreiben, das von TechCrunch eingesehen wurde, bestätigte PowerSchool, dass eine Untersuchung des Vorfalls ergeben hat, dass sein Netzwerk "unbefugte Aktivitäten vor Dezember" erlebt hat, die CrowdStrike mindestens bis August 2024 zurückdatiert hat.
PowerSchool hatte zuvor angegeben, dass es unbefugten Zugriff auf seine Systeme zwischen dem 19. Dezember bis zur Entdeckung des Kompromisses am 28. Dezember 2024 festgestellt hatte.
In seinem Bericht stellte CrowdStrike fest, dass ein Hacker dieselben kompromittierten Support-Anmeldeinformationen, die im Dezemberverstoß verwendet wurden, nutzte, um zwischen dem 16. August 2024 und dem 17. September 2024 auf das Netzwerk von PowerSchool zuzugreifen. Die Anmeldeinformationen wurden verwendet, um auf PowerSchool PowerSource zuzugreifen, das selbe Kundensupport-Portal, das im Dezemberverstoß kompromittiert wurde, um Zugriff auf das Schulinformationssystem (SIS) von PowerSchool zu erhalten.
PowerSource "ermöglicht es einem Support-Techniker mit ausreichenden Berechtigungen, auf Kundendatenbankinstanzen des SIS zu Wartungszwecken zuzugreifen", so CrowdStrike.
CrowdStrike sagte, es habe nicht ausreichende Beweise gefunden, um diese Aktivität dem für den Vorfall im Dezember 2024 verantwortlichen Akteur zuzuschreiben, da die Protokolldaten von PowerSchool "nicht lange genug zurückgingen". Die Ergebnisse von CrowdStrike legen jedoch nahe, dass der Dezemberverstoß von PowerSchool verhindert hätte werden können, wenn die kompromittierten Anmeldeinformationen früher geändert worden wären.
Auf Anfrage von TechCrunch am Montag lehnte die PowerSchool-Sprecherin Beth Keebler ab zu sagen, ob das Unternehmen sich dieser früheren Zugriffe auf sein Netzwerk vor der Veröffentlichung des Berichts von CrowdStrike bewusst war.
Viele Fragen bleiben zum PowerSchool-Datenverstoß offen, wie beispielsweise die Gesamtanzahl der betroffenen Personen. PowerSchool hat wiederholt abgelehnt, eine genaue Zahl anzugeben, obwohl Berichte darauf hindeuten, dass auf persönliche Informationen von mehr als 60 Millionen Schülern zugegriffen wurde.
