Atak, który wstrząsnął systemem edukacji
Za jednym z największych naruszeń bezpieczeństwa w amerykańskiej edukacji stoi dziewiętnastoletni student z Massachusetts. Młody mężczyzna, znany z imienia i nazwiska jako Matthew D. Lane, nie tylko włamał się do kluczowych systemów, ale także uczestniczył w spisku, który miał na celu wymuszenie wielomilionowego okupu. Skala ataku była tak ogromna, że dziś jego skutki analizują zarówno eksperci ds. cyberbezpieczeństwa, jak i urzędnicy federalni. To nie była zwykła kradzież danych – to była precyzyjna, wieloetapowa operacja, której celem było nie tylko zdobycie informacji, ale także ich spieniężenie poprzez szantaż.
Początkiem tego cybernetycznego łańcucha był atak na amerykańską firmę telekomunikacyjną, który otworzył Lane’owi i jego wspólnikom drogę do znacznie większego celu – PowerSchool, firmy dostarczającej oprogramowanie dla instytucji edukacyjnych. Dzięki zdobytym w pierwszym ataku danym uwierzytelniającym – należącym do pracownika współpracującego z PowerSchool – Lane uzyskał dostęp do systemów PowerSchool i rozpoczął jeden z najpoważniejszych wycieków danych w historii edukacji cyfrowej. W grudniu 2024 roku cyberprzestępcy naruszyli wewnętrzne systemy firmy i wykorzystali specjalistyczne narzędzia do pobrania olbrzymich ilości danych z platformy wsparcia technicznego PowerSource. W ręce przestępców trafiły nie tylko dane uczniów – w sumie 62,4 miliona rekordów – ale również informacje o 9,5 milionach nauczycieli. Dane te pochodziły z tysięcy okręgów szkolnych w USA, Kanadzie i innych krajach, z którymi firma współpracowała. Informacje, które wpadły w niepowołane ręce, były nie tylko wrażliwe – były wręcz intymne. Poza standardowymi danymi kontaktowymi, ujawniono także numery ubezpieczenia społecznego, dane medyczne, informacje o rodzicach, hasła do kont i szczegółowe oceny. Innymi słowy – wszystko, co umożliwia stworzenie cyfrowego profilu dziecka, trafiło w ręce cyberprzestępców, którzy nie zamierzali zachować tych danych tylko dla siebie.
Miliony dolarów okupu i dalsze szantaże
Zaledwie kilka dni po ataku PowerSchool otrzymał wiadomość z żądaniem okupu. Na szali postawiono nie tylko dane osobowe, ale również reputację firmy i bezpieczeństwo milionów uczniów. Żądanie opiewało na równowartość blisko trzech milionów dolarów w kryptowalucie. W tle tej groźby unosiło się jedno przesłanie – jeśli okup nie zostanie zapłacony, dane trafią do sieci i będą dostępne dla każdego. Z informacji uzyskanych przez dziennikarzy BleepingComputer wynika, że PowerSchool zdecydował się na negocjacje, a następnie na zapłatę. Do dziś nie wiadomo, ile dokładnie pieniędzy trafiło w ręce sprawców. Ale nawet po przekazaniu okupu, przestępcy nie zakończyli działań. Przeciwnie – zaczęli rozsyłać kolejne wiadomości, tym razem bezpośrednio do okręgów szkolnych, żądając dodatkowych opłat za zachowanie milczenia. W praktyce oznaczało to, że szkoły – które nie miały nawet wpływu na zabezpieczenia PowerSchool – musiały same radzić sobie z groźbą wycieku danych swoich uczniów. Za kolejną falą żądań mieli stać członkowie grupy Shiny Hunters, znanej ze spektakularnych ataków, takich jak naruszenie systemów SnowFlake czy kradzież danych klientów AT&T. To właśnie ta grupa – lub osoby się pod nią podszywające – miały rozsyłać kolejne groźby, wzmacniając atmosferę paniki i niepewności.
W międzyczasie amerykańskie organy ścigania rozpoczęły dochodzenie. Lane został zidentyfikowany i zatrzymany, a następnie oskarżony o szereg przestępstw federalnych – od spisku w celu wymuszenia, przez nieautoryzowany dostęp do komputerów, po kradzież tożsamości. W maju 2025 roku przyznał się do winy, co może oznaczać, że śledczy zyskają szansę na dotarcie do kolejnych osób zaangażowanych w ten wielowątkowy atak.
