חן בורשן, מנכ״ל סקייהוק סקיוריטי, באדיבות סקייהוק סקיוריטי
דמיינו לכם. השנה היא 1985. הסרט “בחזרה לעתיד” יוצא לאקרנים, והקהל נוהר לראות את מרטי מק’פליי נוסע בזמן. אם אתם תושבי אונטריו שבקנדה והייתם בתיכון אז, ייתכן מאוד שהתיק האישי שלכם מתיק הספר נגנב כעת. איך זה קרה?
בדצמבר 2024, PowerSchool, חברת טכנולוגיה מובילה בתחום החינוך הציבורית (מגן חובה ועד כיתה י”ב) התומכת באלפי בתי ספר ברחבי צפון אמריקה, חוותה פריצת נתונים משמעותית. הפריצה זוהתה ב-28 בדצמבר 2024, כאשר גישה לא מורשית התבצעה לפורטל התמיכה של PowerSchool, המכונה PowerSource, באמצעות פרטי גישה לענן שנגנבו.
גישה לא מורשית זו חשפה מידע אישי של תלמידים ומורים, כולל שמות, פרטי קשר, תאריכי לידה, מידע רפואי, מספרי ביטוח לאומי ומידע נוסף.
כיום, החברה משרתת מעל 60 מיליון תלמידים ב-40 מדינות ויותר מ-18,000 בתי ספר. אך זה לא כל הסיפור. בתי ספר רבים העלו נתונים היסטוריים למערכת. לדוגמה, חלק מבתי הספר בקנדה דיווחו כי יש להם נתונים משנת 1985. מדובר בקרוב ל-4 עשורים של נתונים שנחשפו.
איך התרחשה הפריצה?
התוקפים השתמשו בפרטי הזדהות גנובים כדי לקבל גישה לא מורשית לפורטל PowerSource. לפי השערות מסוימות, מדובר בחשבון שירות שלא היה מאובטח באמצעות אימות דו-שלבי (MFA). ברגע שנכנסו, התוקפים ניגשו למידע אישי רגיש, שכלל נתונים על תלמידים ומורים. מידע זה עשוי לכלול שמות, תאריכי לידה, פרטי קשר, ומידע רגיש נוסף כמו מספרי ביטוח לאומי ומידע רפואי.
הפריצה השפיעה על מחוזות לימוד רבים בארה”ב ובקנדה, כולל מחוזות גדולים בוירג’יניה, קליפורניה וטורונטו. המספר הכולל של בתי הספר והאנשים שנפגעו עדיין לא ידוע במלואו.
דווח כי PowerSchool שילמה כופר כדי למנוע את פרסום הנתונים הגנובים בעקבות הפריצה. החברה הצהירה כי קיבלה הבטחות מהתוקפים שהנתונים נמחקו ואין עותקים נוספים.
בשלב זה, הנתונים שנגנבו לא פורסמו ברשת האפלה, אך זה לא מרגיע את ההורים והתלמידים הזועמים, והחברה כעת עומדת בפני 23 תביעות משפטיות בעקבות הפריצה הגדולה הזו.
הפריצה לנתוני PowerSchool לא גרמה לשיבושים בפעילות השירותים של החברה. היא התמקדה בגניבת נתונים רגישים ולא בשיבוש תפקוד הפלטפורמות של PowerSchool או יכולתה לשרת את בתי הספר.
העובדה הזו מעידה שההתקפה כוונה למטרת גניבת נתונים ולא הייתה מיועדת כמתקפת כופר קלאסית שנועדה לנעול מערכות או למנוע גישה לשירותים. בנוסף, היא מצביעה על כך שההאקרים היו מודעים היטב לפעולותיהם ובחרו את הזמן המתאים לבצע את הפריצה ולחלץ כמויות גדולות של נתונים – בתקופת סוף השנה, בזמן חופשת החגים, כאשר מי שאחראים על ניטור המערכות בדרך כלל ברמת ערנות נמוכה יותר.
היקף הפריצה:
לרוב, תקריות אבטחה כוללות “רדיוס פיצוץ” מוגבל יחסית. אולם, במקרה הזה, גם אם רדיוס הפיצוץ הטכני אינו גדול, הרי שמבחינת היקף נתונים שאוכסן ונגנב, מדובר על פריצה שמקיפה כמות עצומה של אנשים שנתוניהם נצברו במשך תקופה ארוכה מאוד, מה שהסתיים בגניבת כמות עצומה של מידע.
לפי דיווחים, הפריצה השפיעה על 62.4 מיליון תלמידים ועל 9.5 מיליון מורים. מדובר בתלמידים ומורים מ-40 מדינות בארה”ב ובקנדה. חלק מהנתונים שנגנבו הם ישנים מאוד (בקנדה, מאז 1985; במחוז Menlo Park בקליפורניה – מאז 2009). המידע שנגנב משתנה ממחוז למחוז, אך כולל (למשל, במחוז אונטריו):
- שמות פרטיים, אמצעיים ומשפחה
- תאריך לידה
- מגדר
- מספר כרטיס בריאות
- רמת לימודית ומידע בית ספרי
- תאריך התחלה/סיום כתלמיד
- מידע רפואי (למשל, אלרגיות, מצבים רפואיים, פציעות)
- כתובת מגורים
- מספרי טלפון
- מספר תלמיד במחוז
- כתובת אימייל של
- מצב משפחתי
- הערות מנהל/סגן מנהל (כולל הערות משמעת)
הסעיף האחרון משעשע במיוחד. זוכרים שאמרו לכם בבית הספר שהכל נרשם בתיק האישי? ובכן, לפחות במקרה דנן זה אכן היה כך. ולא רק שהדברים נרשמו, אלא שמישהו טרח להעתיק אותם מקלסר נייר למערכת ממוחשבת כלשהי, ואז לאחרת, ולבסוף, לפני מספר שנים, להעלותם לפורטל בענן שם הם היו אמורים להשמר- כנראה לתמיד.
לקחים שנלמדו:
ייתכן שהמקרה הזה נראה כמו מבצע פריצה עצום, שבוצע על ידי האקרים מיומנים מאוד, אבל בפועל, מרבית התקיפות כיום על שרותי ענן, התוקפים לא פורצים, הם פשוט מתחברים בדרכים שונות. מחד, קשה יותר לזהות מתקפות שעושות שימוש במזהים לגיטימיים, מנגד, אפשר למנוע מתקפות אלו ובעיקר את הנזק שלהן באמצעות מערכות אבטחה מודרניות מבוססות AI שהיו יכולות לזהות ולהגיב עליהם מוקדם יותר.
בין היתר, שליפת המידע המאסיבי של הנתונים היה צריך להיות מזוהה ולהתריע בפני מפעילי האבטחה. מערכות מבוססות AI יכלו לשמש להרצת סימולציות לפני התקרית, למפות מסלולי פריצה אפשריים ולתכנן תגובות הולמות מראש.
