Los Andželo vieninga mokyklų apygarda patvirtino duomenų pažeidimą, kai grėsmės veikėjai pavogė mokinių ir darbuotojų duomenis, įsilaužę į bendrovės „Snowflake“ paskyrą.
„SnowFlake“ yra debesų duomenų bazės platforma, kurią duomenims saugoti naudoja kai kurios didžiausios įmonės visame pasaulyje.
Anksčiau šį mėnesį grėsmės veikėjas pradėjo pardavinėti daugelio įmonių, įskaitant „TicketMaster“, „Satandar Bank“, „Advance Auto Parts“ ir „Pure Storage“, duomenis, o įsilaužėlis pareiškė, kad jis buvo pavogtas iš „SnowFlake“.
Bendras „SnowFlake“, „Mandiant“ ir „CrowdStrike“ tyrimas atskleidė, kad grėsmės veikėjas, sekamas UNC5537, pasinaudojo pavogtais klientų kredencialais, kad nusitaikytų mažiausiai į 165 organizacijas, kurios savo paskyrose nesukonfigūravo kelių veiksnių autentifikavimo apsaugos.
Patekę į sąskaitas, jie atsisiuntė visus duomenis ir bandė išvilioti įmonę mainais už tai, kad ji neparduotų arba neperduotų duomenų kitiems kibernetiniams nusikaltėliams.
LAUSD parduotas įsilaužėlių forume
Birželio 18 d. grėsmių veikėjas, žinomas kaip „Sp1d3r“, kuris parduoda duomenis iš ankstesnių „SnowFlake“ atakų, taip pat pradėjo pardavinėti „Los Angeles Unified“ duomenis už 150 000 USD, teigdamas, kad jie pavogė juos iš „SnowFlake“.
Grėsmės veikėjas teigia, kad šiuose duomenyse yra mokinių vardai, adresai, pavardės, demografiniai duomenys, finansai, pažymiai, veiklos balai, informacija apie negalią, išsami informacija apie drausmę ir tėvų informacija.
Peržiūrėjęs duomenų pavyzdį, LAUSD patvirtino „BleepingComputer“, kad duomenys buvo pavogti iš jos „SnowFlake“ paskyros.
„Kaip buvo minėta anksčiau, 2024 m. birželio 6 d. „Los Angeles Unified“ sužinojo apie kenkėjiško veikėjo paskyrą, kuri neva siūlo parduoti tam tikrus studentų ir darbuotojų duomenis“, – „BleepingComputer“ sakė Los Andželo „Unified“ atstovas.
„Atlikus išsamų ir nuolatinį tyrimą, apygarda nustatė, kad aptariamus duomenis saugojo vienas ar daugiau Los Andželo „Unified“ išorinių pardavėjų „Snowflake“, debesies pagrindu veikiančioje platformoje, naudojamoje masiniam duomenų saugojimui, ir atrodo, kad jie buvo pavogti būdu, atitinkančiu neseniai paskelbtas vagystes, susijusias su daugybe „Snowflake“ paskyrų“.
„Kol kas rajono vykdomas tyrimas neatskleidė jokių įrodymų, kad mūsų sistemoms ar tinklams būtų pakenkta, tačiau tyrimas dėl paveiktų duomenų apimties ir masto tebevyksta.
„Los Angeles Unified“ teigia, kad bendradarbiauja su FTB, CISA ir jos pardavėjais, kad toliau tirtų incidentą.
Matyt, daugiau nei vienas grėsmių veikėjas gavo prieigą prie „Los Angeles Unified“ duomenų, nes kitas grėsmių veikėjas, vardu „Šėtonas“, beveik prieš dvi savaites, birželio 6 d., pradėjo pardavinėti rajono duomenis už 1000 USD.
Tačiau atrodo, kad šie duomenys skiriasi nuo duomenų, pavogtų iš „SnowFlake“, o grėsmės veikėjas teigia, kad juose yra 26 milijonai įrašų su esamo ir buvusio mokinio informacija, daugiau nei 24 000 mokytojų įrašų ir apie 500 įrašų su personalo informacija.
Šis grėsmių veikėjas dabar jį išleido nemokamai, leisdamas bet kuriam kibernetiniam nusikaltėliui atsisiųsti ir naudoti savo atakoms.
Tačiau neaišku, iš kur gauti šie duomenys, nes neatrodo, kad jie būtų gauti iš SnowFlake.
„BleepingComputer“ praėjusią naktį susisiekė su LAUSD, kad patvirtintų „Satanic“ nutekintų duomenų kilmę, tačiau atsakymo negavo.
Šiuo metu, kai LAUSD dabar dalijasi didžiuliu kiekiu duomenų įsilaužimo forumuose, visi jos mokiniai, mokytojai ir darbuotojai turėtų apsvarstyti, ar jų duomenys yra atskleisti.
Kadangi neretai kiti grėsmių subjektai savo kampanijose naudoja nutekėjusius duomenis, labai svarbu išlikti budriems nuo nepageidaujamų el. laiškų, žinučių ir telefono skambučių, kuriais bandoma pavogti papildomus duomenis, pvz., slaptažodžius.