Une plateforme logicielle utilisée par plus de 11 millions d’étudiants aux États-Unis a été ciblée dans une cyberattaque revendiquée par le célèbre groupe de hackers ShinyHunters. L’incident concerne Infinite Campus, un fournisseur de systèmes d’information pour les élèves utilisé par plus de 3 200 districts scolaires répartis dans 46 États. L’entreprise gère les données des étudiants, y compris les dossiers académiques, la fréquentation et les informations administratives.
ShinyHunters, un groupe de cybercriminalité connu pour le vol de données et les opérations d’extorsion, a revendiqué la responsabilité de la violation et a menacé de divulguer les données à moins qu’une demande de rançon ne soit satisfaite.
Selon des rapports, les attaquants ont obtenu l’accès via un compte employé lié à un service cloud. Salesforce a été identifié comme point d’entrée, les attaquants accédant aux enregistrements stockés dans ce système.
L’entreprise a déclaré que son enquête n’avait trouvé aucune preuve que les bases de données principales des étudiants aient été consultées. Au lieu de cela, les informations exposées se limitaient à des noms et coordonnées liés au personnel scolaire, dont une grande partie était décrite comme des informations d’annuaire déjà accessibles au public.
ShinyHunters a indiqué avoir obtenu un ensemble plus large de données et a fixé une date limite pour que la société réponde avant de publier le contenu. Le groupe a publié un avis sur son site web obscur décrivant l’incident comme un « dernier avertissement ». L’entreprise a déclaré qu’elle n’engagerait pas les assaillants.
L’incident fait suite à une série d’attaques liées à ShinyHunters visant des services logiciels cloud et des comptes d’entreprise. Des chercheurs en sécurité ont déjà rapporté que le groupe utilise des méthodes telles que l’ingénierie sociale et le vol de crédences pour accéder aux systèmes, plutôt que d’exploiter directement les vulnérabilités logicielles.
Les chercheurs et les chercheurs ont lié les activités récentes du groupe à des campagnes ciblant les systèmes de connexion unique et les plateformes cloud, permettant aux attaquants de se déplacer entre des services connectés et d’extraire des données pour des tentatives d’extorsion.