כשל אבטחה בענן חשף 40 שנות מידע של מורים ותלמידים
בדצמבר האחרון נחשפה פרצת אבטחה חמורה בפלטפורמת החינוך PowerSchool, שהשפיעה על כ-70 מיליון מורים ותלמידים. איך זה קרה, מדוע הנתונים לא נמחקו ומה אפשר ללמוד מהאירוע הזה על אבטחת ענן?
צילום מסך: יוטיוב
מאת: חן בורשן
דמיינו לכם: השנה היא 1985, הסרט "בחזרה לעתיד" יוצא לאקרנים והקהל נוהר לראות את מרטי מק'פליי נוסע בזמן. אם גדלתם באונטריו שבקנדה והייתם אז בתיכון, ייתכן מאוד שהתיק האישי שלכם מתיק הספר נגנב כעת. איך זה קרה?
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בדצמבר 2024 PowerSchool, חברת טכנולוגיה מובילה בתחום החינוך הציבורית (מגן חובה ועד כיתה י"ב) התומכת באלפי בתי ספר ברחבי צפון אמריקה, חוותה פריצת נתונים משמעותית. הפריצה זוהתה ב-28 בדצמבר 2024, כאשר גישה לא מורשית התבצעה לפורטל התמיכה של PowerSchool, המכונה PowerSource, באמצעות פרטי גישה לענן שנגנבו. גישה לא מורשית זו חשפה מידע אישי של תלמידים ומורים, כולל שמות, פרטי קשר, תאריכי לידה, מידע רפואי, מספרי ביטוח לאומי ומידע נוסף.
החברה משרתת כיום כ-60 מיליון תלמידים ב-40 מדינות ביותר מ-18,000 בתי ספר. אך זה לא כל הסיפור – בתי ספר רבים העלו נתונים היסטוריים למערכת. לדוגמה, חלק מבתי הספר בקנדה דיווחו כי יש להם נתונים משנת 1985. מדובר בקרוב ל-4 עשורים של נתונים שנחשפו.
איך התרחשה הפריצה?
התוקפים השתמשו בפרטי הזדהות גנובים כדי לקבל גישה לא מורשית לפורטל PowerSource. לפי השערות, מדובר בחשבון שירות שלא היה מאובטח באמצעות אימות דו-שלבי (MFA). ברגע שנכנסו, התוקפים ניגשו למידע אישי רגיש, שכלל נתונים על תלמידים ומורים.
החברה עומדת בפני 23 תביעות. תמונה: dreamstime
הפריצה השפיעה על מחוזות לימוד רבים בארה"ב ובקנדה, כולל מחוזות גדולים בווירג'יניה, קליפורניה וטורונטו. בשלב זה, הנתונים שנגנבו לא פורסמו ברשת האפלה. דווח כי PowerSchool שילמה כופר כדי למנוע את פרסום הנתונים הגנובים בעקבות הפריצה, וכי החברה הצהירה שקיבלה הבטחות מהתוקפים שהנתונים נמחקו ואין עותקים נוספים. אך זה לא מרגיע את ההורים והתלמידים הזועמים, והחברה כעת עומדת בפני 23 תביעות משפטיות בעקבות הפריצה הגדולה הזו.
חשוב לשים לב ולציין כי הפריצה התמקדה בגניבת נתונים רגישים, ולא בשיבוש של תפקוד הפלטפורמות של PowerSchool או יכולתה לשרת את בתי הספר. העובדה הזו מעידה שמטרת התקיפה כוונה לגניבת נתונים, ולא נועדה להיות מתקפת כופר קלאסית שמטרתה לנעול מערכות או למנוע גישה לשירותים.
בנוסף, היא מצביעה על כך שההאקרים היו מודעים היטב לפעולותיהם ובחרו את הזמן המתאים לבצע את הפריצה כדי לחלץ כמויות גדולות של נתונים – בתקופת סוף השנה, בזמן חופשת החגים, כאשר מי שאחראים על ניטור המערכות בדרך כלל ברמת ערנות נמוכה יותר.
היקף הפריצה
לרוב, תקריות אבטחה כוללות "רדיוס פיצוץ" מוגבל יחסית. אולם, במקרה הזה, גם אם רדיוס הפיצוץ הטכני אינו גדול, הרי שמבחינת היקף נתונים שאוחסן ונגנב, מדובר על פריצה שמקיפה כמות עצומה של אנשים שנתוניהם נצברו במשך תקופה ארוכה מאוד, מה שהסתיים בגניבת כמות עצומה של מידע.
המספר הכולל של בתי הספר והאנשים שנפגעו עדיין לא ידוע במלואו, אך לפי דיווחים הפריצה השפיעה על 62.4 מיליון תלמידים ועל 9.5 מיליון מורים מ-40 מדינות בארה"ב ובקנדה. חלק מהנתונים שנגנבו הם ישנים מאוד (בקנדה, מאז 1985; במחוז Menlo Park בקליפורניה – מאז 2009). המידע שנגנב משתנה ממחוז למחוז, אך במחוז אונטריו למשל הוא כולל שמות פרטיים, אמצעיים ומשפחה; תאריך לידה; מספר כרטיס בריאות; רמת לימודית ומידע בית ספרי; מידע רפואי (למשל, אלרגיות, מצבים רפואיים, פציעות); כתובת מגורים; מספרי טלפון; מצב משפחתי; והערות מנהל/סגן מנהל (כולל הערות משמעת).
הסעיף האחרון משעשע במיוחד. זוכרים שאמרו לכם בבית הספר שהכל נרשם בתיק האישי? ובכן, לפחות במקרה דנן זה אכן היה כך. ולא רק שהדברים נרשמו, אלא שמישהו טרח להעתיק אותם מקלסר נייר למערכת ממוחשבת כלשהי, ואז לאחרת, ולבסוף, לפני מספר שנים, להעלותם לפורטל בענן שם הם היו אמורים להישמר – כנראה לתמיד.
המקרה הזה אולי נראה כמו מבצע פריצה עצום שבוצע על ידי האקרים מיומנים מאוד, אבל בפועל, כמו ברוב התקיפות כיום על שרותי ענן, התוקפים לא פורצים – הם פשוט מתחברים בדרכים שונות. מחד, קשה יותר לזהות מתקפות שעושות שימוש במזהים לגיטימיים; מנגד, אפשר למנוע אותן, ובעיקר את הנזק שלהן, באמצעות מערכות אבטחה מודרניות מבוססות AI שהיו יכולות לזהות ולהגיב מוקדם יותר.
הכותב הוא מנכ"ל חברת האבטחה בענן סקייהוק סקיוריטי
