Na ez nem egy vadonatúj megállapítás, legalábbis remélhetőleg senkinek nem az. A mostani történet újból feleleveníti a korábbi diskurzusokat: megengedhető-e manapság váltságdíjat fizetni, no meg szabad-e hinni a mesékben?
A történet eredetileg 2024. decemberében indult, amikor az USA PowerSchool nevű oktatásügyi szoftver szolgáltatóját kibertámadás érte, melynek során titkosítás nem is biztos hogy történt, de adatlopás viszont biztosan. A támadók december 19. és 23. között szereztek jogosulatlan hozzáférést a PowerSchool rendszereihez egy feltört karbantartói fiók segítségével, ám a cégben a támadást csak december 28-án fedezték fel.
A vállalat ezek után fizetett az ismeretlen támadóknak azért, hogy az ellopott érzékeny adatok ne kerüljenek nyilvánosságra, illetve adatok törléséért. A kifizetett összeg pontos mértékét ugyanakkor nem hozták nyilvánosságra.
A PowerSchool jelentős szereplő, hiszen több, mint 60 millió diákot szolgál ki világszerte. És hogy mik is voltak ezek a bizalmas adatok? A támadók hozzáfértek többek között amerikai és kanadai diákok, tanárok és szülők személyes adataihoz, például nevekhez, címekhez, születési dátumokhoz, társadalombiztosítási számokhoz, egészségügyi információkhoz és tanulmányi eredményekhez.
Emellett a tanulók fogyatékossággal kapcsolatos információi, nemi, faji és etnikai hovatartozásuk, plusz vészhelyzet esetén értesítendő személyek adatai is kikerültek. A PowerSchool a támadók kérésére ismeretlen összegű váltságdíjat fizetett, és állításuk szerint videós bizonyítékot kaptak arról, hogy az ellopott adatokat valóban törölték (hehe). A vállalat azt hangsúlyozta, hogy ez a lépésük csakis a diákok, tanárok és közösségek védelme érdekében történt.
Az incidens szinte minden korosztályt érintett, értsük ezalatt mindazokat, akik 1985. szeptember 3. és 2024. december 28. a vállalattal szerződésben álló diákok voltak + oktatók, ami elég nagy merítés. Ahogy azt a 2013. óta jelenlévő ransomware esetekben mindig is hangsúlyozni szoktunk, nem Grál lovagokkal üzletelünk, hanem bűnözőkkel. Ami azt jelenti, hogy az elkódolt, titkosított állományainkért fizetett váltságdíjért semmi nem garantálja, hogy egyáltalán kapunk valamit, vagy működő helyreállító kulcsot.
Az igaz, hogy a bűnöző csoportok valamennyire igyekeznek vigyázni a saját hírnevükre, és bizonyítani, hogy érdemes nekik fizetni, ám ez sokszor mégsem történik így. Még ha adnak is dekódoló programot - ahogy az a Colonial Pipeline esetnél történt, a 4.4 millió dollár váltságdíj leszurkolása után kapott helyreállító olyan rettentő lassú volt, hogy mégis inkább korábbi saját mentésekből dolgoztak.
A doxing segítségével ellopott adatokból a támadók gyakran részleteket szivárogtatnak ki nyomásgyakorlásként, hogy mégis fizessenek a hezitáló áldozatok.
De már ott is megjelent, hogy árverésre bocsátják a bizalmas adatokat, vagy hogy újra és újra megzsarolják ugyanazt az áldozatul esett szervezetet - gondoljunk csak a Change Healthcare incidensre, ahol az ALPHV/BlackCat részére kifizetett 22 millió dollár összegű váltságdíj után a RansomHub ismét benyújtotta ugyanazért a csomagért az újabb számlát.
Elképesztő naivság bárkinek azt gondolni, hogy egy ilyen típusú üzletben a bűnözők részéről tett bármiféle törlési, megsemmisítési ígéret biztosra vehető. Ahogy most a PowerSchool esetében egyesével próbálják megzsarolni a diákokat és tanárokat. Azt még nem tudni, hogy az eredeti ransomware csoport teszi-e most ezt, vagy az adatokhoz valamiképpen hozzájutó harmadik fél, de a lényeg, hogy a történet egyáltalán nem zárult le a korábbi váltságdíj fizetéssel.
A PowerSchool hivatalosan közölte, hogy két év ingyenes személyazonosság-lopás és hitelminősítési szolgáltatást nyújt az incidensben érintett személyeknek.