PowerSchool là nhà cung cấp giải pháp phần mềm đám mây cho các trường học từ mẫu giáo đến lớp 12, với hơn 18.000 khách hàng và hỗ trợ hơn 60 triệu học sinh trên toàn thế giới.

Vào tháng 01/2025, “gã khổng lồ” phần mềm giáo dục này đã tiết lộ rằng, cổng thông tin hỗ trợ khách hàng PowerSource của họ đã bị xâm phạm vào ngày 19/12/2024, bằng cách sử dụng thông tin đăng nhập bị đánh cắp của một nhà thầu phụ. Kẻ tấn công đã yêu cầu khoản tiền chuộc 2,85 triệu đô la bằng Bitcoin vào ngày 28/12/2024, sau khi đánh cắp họ tên đầy đủ, địa chỉ thực, số điện thoại, mật khẩu, thông tin phụ huynh, thông tin liên lạc, mã số An sinh Xã hội và dữ liệu y tế của học sinh và giáo viên bị ảnh hưởng.

Theo các chuyên gia nghiên cứu, kẻ tấn công đứng sau vụ xâm nhập PowerSchool vào tháng 12/2024 tuyên bố đã đánh cắp dữ liệu cá nhân của 62,4 triệu học sinh và 9,5 triệu giáo viên từ 6.505 trường học trên khắp Hoa Kỳ, Canada và các quốc gia khác.

"Những sai sót của PowerSchool vi phạm cả Đạo luật thực hành Thương mại lừa đảo của bang Texas và Đạo luật thực thi và bảo vệ trộm cắp danh tính bằng cách gây hiểu lầm cho khách hàng về các hoạt động bảo mật của mình cũng như không thực hiện các biện pháp hợp lý để bảo vệ thông tin nhạy cảm được các gia đình và các trường học mà chính quyền bang Texas ủy thác", Văn phòng Tổng Chưởng lý Texas cho biết.

"Nếu các công ty công nghệ lớn nghĩ rằng họ có thể kiếm lời từ việc quản lý dữ liệu của trẻ em trong khi cắt giảm chi phí bảo mật, thì họ đã hoàn toàn sai lầm. Phụ huynh không bao giờ phải lo lắng rằng thông tin họ cung cấp để ghi danh cho con em mình vào trường có thể bị đánh cắp và sử dụng sai mục đích. Văn phòng của tôi sẽ làm mọi cách có thể để buộc PowerSchool phải chịu trách nhiệm về việc gây nguy hiểm cho học sinh, giáo viên và gia đình tại Texas", Tổng Chưởng lý Paxton chia sẻ thêm thông tin mới đây.

Kẻ tấn công tống tiền các trường học phải nhận tội

Trong một câu hỏi thường gặp riêng tư được chia sẻ với khách hàng, lãnh đạo của PowerSchool thừa nhận rằng, họ đã trả tiền chuộc để ngăn chặn việc tiết lộ dữ liệu và nhận được một video từ kẻ tấn công tuyên bố rằng dữ liệu bị đánh cắp đã bị xóa.

Tuy nhiên, kẻ tấn công đã không giữ lời hứa, khi chúng bắt đầu tống tiền từng học khu vào đầu tháng 5 năm nay, đe dọa sẽ tiết lộ dữ liệu học sinh và giáo viên đã bị đánh cắp trước đó nếu không trả tiền chuộc.

Cuối tháng 5 vừa qua, sinh viên đại học Matthew D. Lane, 19 tuổi đến từ Worcester, bang Massachusetts đã nhận tội dàn dựng vụ tấn công mạng quy mô lớn vào PowerSchool với sự giúp đỡ của một số đồng phạm khác và cố gắng tống tiền hàng triệu đô la để đổi lấy việc không tiết lộ dữ liệu bị đánh cắp của hàng triệu người.

Theo thông báo của trường học và báo cáo của DataBreaches.net, các yêu cầu tiền chuộc được gửi đến các học khu được cho là từ ShinyHunters, một nhóm tin tặc khét tiếng có liên quan đến một loạt các vụ vi phạm đã ảnh hưởng đến hàng trăm triệu người trong suốt thời gian gần đây.

Vào tháng 3, PowerSchool cũng đã công bố một cuộc điều tra của công ty chuyên về bảo mật CrowdStrike về vụ việc, trong đó tiết lộ rằng, các tác nhân đe dọa cũng đã xâm nhập PowerSource vào tháng 8 và tháng 9 năm 2024, sử dụng cùng một thông tin đăng nhập bị xâm phạm. Tuy nhiên, công ty an ninh mạng này không thể tìm thấy bằng chứng cho thấy cùng một kẻ tấn công chịu trách nhiệm cho cả ba vụ xâm nhập.

Hà Linh