Een softwareplatform dat door meer dan 11 miljoen studenten in de Verenigde Staten wordt gebruikt, werd het doelwit van een cyberaanval die werd opgeëist door de beruchte hackgroep ShinyHunters. Het incident betreft Infinite Campus, een aanbieder van studenteninformatiesystemen die worden gebruikt door meer dan 3.200 schooldistricten in 46 staten. Het bedrijf beheert studentengegevens, waaronder academische gegevens, aanwezigheid en administratieve informatie.
ShinyHunters, een cybercrimegroep die bekend staat om datadiefstal en afpersingsoperaties, eiste de verantwoordelijkheid op zich voor de inbreuk en dreigde de gegevens vrij te geven tenzij aan een losgeldeis werd voldaan.
Volgens berichten kregen de aanvallers toegang via een personeelsaccount dat gekoppeld was aan een cloudgebaseerde dienst. Salesforce werd geïdentificeerd als het toegangspunt, waarbij de aanvallers toegang kregen tot records die in dat systeem waren opgeslagen.
Het bedrijf verklaarde dat het onderzoek geen bewijs vond dat er toegang was tot de kerndatabases van studenten. In plaats daarvan was de blootgestelde informatie beperkt tot namen en contactgegevens van schoolpersoneel, waarvan veel werd omschreven als directory-informatie die al openbaar beschikbaar was.
ShinyHunters zei dat het een bredere set gegevens had verkregen en een deadline had gesteld voor het bedrijf om te reageren voordat het materiaal werd vrijgegeven. De groep publiceerde een bericht op haar donkere website waarin het incident werd omschreven als een “laatste waarschuwing.” Het bedrijf zei dat het niet met de aanvallers in gesprek zou gaan.
Het incident volgt op een reeks aanvallen die verband houden met ShinyHunters die gericht zijn op cloudgebaseerde softwarediensten en zakelijke accounts. Beveiligingsonderzoekers hebben eerder gemeld dat de groep methoden gebruikt zoals social engineering en diefstal van inloggegevens om toegang te krijgen tot systemen, in plaats van softwarekwetsbaarheden direct te exploiteren.
Onderzoekers en onderzoekers hebben recente activiteiten van de groep gekoppeld aan campagnes gericht op single sign-on systemen en cloudplatforms, waardoor aanvallers tussen verbonden diensten kunnen bewegen en data kunnen extraheren voor gebruik bij afpersingspogingen.