Una plataforma de software utilizada por más de 11 millones de estudiantes en Estados Unidos fue objetivo de un ciberataque reivindicado por el notorio grupo de hackers ShinyHunters. El incidente involucra a Infinite Campus, un proveedor de sistemas de información para estudiantes utilizado por más de 3.200 distritos escolares en 46 estados. La empresa gestiona los datos de los estudiantes, incluyendo registros académicos, asistencia e información administrativa.
ShinyHunters, un grupo de ciberdelincuencia conocido por el robo de datos y operaciones de extorsión, se atribuyó la responsabilidad de la brecha y amenazó con divulgar los datos a menos que se cumpliera una demanda de rescate.
Según los informes, los atacantes obtuvieron acceso a través de una cuenta de empleado vinculada a un servicio en la nube. Salesforce se identificaba como el punto de entrada, con los atacantes accediendo a los registros almacenados en ese sistema.
La empresa declaró que su investigación no encontró pruebas de que se accediera a bases de datos básicas de estudiantes. En su lugar, la información expuesta se limitó a nombres y datos de contacto relacionados con el personal escolar, gran parte de la cual se describía como información de directorio ya disponible públicamente.
ShinyHunters afirmó que había obtenido un conjunto más amplio de datos y estableció un plazo para que la compañía respondiera antes de publicar el material. El grupo publicó un aviso en su página web oscura describiendo el incidente como una “advertencia final”. La empresa dijo que no se enfrentaría a los atacantes.
El incidente sigue a una serie de ataques vinculados a ShinyHunters dirigidos a servicios de software basados en la nube y cuentas empresariales. Investigadores de seguridad han informado anteriormente de que el grupo utiliza métodos como la ingeniería social y el robo de credenciales para acceder a sistemas, en lugar de explotar directamente vulnerabilidades de software.
Investigadores y investigadores han vinculado la actividad reciente del grupo con campañas dirigidas a sistemas de inicio de sesión único y plataformas en la nube, permitiendo a los atacantes moverse entre servicios conectados y extraer datos para su uso en intentos de extorsión.