Una piattaforma software utilizzata da oltre 11 milioni di studenti negli Stati Uniti è stata presa di mira da un attacco informatico rivendicato dal famigerato gruppo di hacker ShinyHunters. L’incidente coinvolge Infinite Campus, un fornitore di sistemi informativi per studenti utilizzato da oltre 3.200 distretti scolastici in 46 stati. L’azienda gestisce i dati degli studenti, inclusi registri accademici, frequenza e informazioni amministrative.
ShinyHunters, un gruppo di crimini informatici noto per operazioni di furto di dati ed estorsione, si è assunto la responsabilità della violazione e ha minacciato di rilasciare i dati a meno che non fosse stata soddisfatta una richiesta di riscatto.
Secondo i rapporti, gli aggressori hanno ottenuto l’accesso tramite un account di un dipendente collegato a un servizio cloud. Salesforce è stato identificato come punto di ingresso, con gli attaccanti che accedevano ai record memorizzati in quel sistema.
L’azienda ha dichiarato che la sua indagine non ha trovato prove che siano stati consultati i database principali degli studenti. Invece, le informazioni esposte si limitavano a nomi e contatti relativi al personale scolastico, gran parte dei quali erano descritti come informazioni di elenco già disponibili al pubblico.
ShinyHunters ha dichiarato di aver ottenuto un insieme più ampio di dati e ha fissato una scadenza per la risposta prima di pubblicare il materiale. Il gruppo ha pubblicato un avviso sul suo sito oscuro descrivendo l’incidente come un “avvertimento finale.” L’azienda ha dichiarato che non avrebbe interagito con gli aggressori.
L’incidente segue una serie di attacchi collegati a ShinyHunter che hanno preso di mira servizi software basati su cloud e account aziendali. I ricercatori di sicurezza hanno già riferito che il gruppo utilizza metodi come l’ingegneria sociale e il furto di credenziali per accedere ai sistemi, invece di sfruttare direttamente le vulnerabilità software.
Ricercatori e investigatori hanno collegato le attività recenti del gruppo a campagne rivolte ai sistemi single sign-on e alle piattaforme cloud, permettendo agli attaccanti di muoversi tra servizi connessi ed estrarre dati da utilizzare in tentativi di estorsione.