Eine Softwareplattform, die von mehr als 11 Millionen Studierenden in den Vereinigten Staaten genutzt wird, wurde Ziel eines Cyberangriffs, der von der berüchtigten Hackergruppe ShinyHunters beansprucht wurde. Der Vorfall betrifft Infinite Campus, einen Anbieter von Schülerinformationssystemen, die von mehr als 3.200 Schulbezirken in 46 Bundesstaaten genutzt werden. Das Unternehmen verwaltet Schülerdaten, einschließlich akademischer Unterlagen, Anwesenheit und Verwaltungsinformationen.
ShinyHunters, eine Cyberkriminalitätsgruppe, die für Datendiebstahl und Erpressung bekannt ist, übernahm die Verantwortung für den Sicherheitsvorfall und drohte, die Daten freizugeben, sofern keine Lösegeldforderung erfüllt werde.
Berichten zufolge erhielten die Angreifer Zugang über ein Mitarbeiterkonto, das mit einem cloudbasierten Dienst verknüpft war. Salesforce wurde als Einstiegspunkt identifiziert, wobei die Angreifer auf in diesem System gespeicherte Datensätze zugreifen konnten.
Das Unternehmen erklärte, dass seine Untersuchung keine Hinweise darauf gefunden habe, dass auf die Kerndatenbanken der Studierenden zugegriffen wurde. Stattdessen beschränkten sich die offengelegten Informationen auf Namen und Kontaktdaten des Schulpersonals, von denen vieles als bereits öffentlich zugängliche Verzeichnisinformationen beschrieben wurde.
ShinyHunters gab an, einen umfassenderen Datensatz erhalten zu haben und eine Deadline für die Antwort des Unternehmens vor der Veröffentlichung des Materials gesetzt zu haben. Die Gruppe veröffentlichte auf ihrer dunklen Website eine Mitteilung, in der sie den Vorfall als “letzte Warnung” bezeichnete. Das Unternehmen erklärte, es werde sich nicht mit den Angreifern auseinandersetzen.
Der Vorfall folgt auf eine Reihe von Angriffen, die mit ShinyHunters in Verbindung stehen, die cloudbasierte Softwaredienste und Unternehmenskonten ins Visier nahmen. Sicherheitsforscher haben zuvor berichtet, dass die Gruppe Methoden wie Social Engineering und Diebstahl von Zugangsdaten einsetzt, um Zugang zu Systemen zu erhalten, anstatt Softwareschwachstellen direkt auszunutzen.
Ermittler und Forscher haben jüngste Aktivitäten der Gruppe mit Kampagnen in Verbindung gebracht, die sich auf Single-Sign-On-Systeme und Cloud-Plattformen konzentrieren, sodass Angreifer zwischen verbundenen Diensten wechseln und Daten für Erpressungsversuche extrahieren können.