Worcester’dan Bir Üniversite Öğrencisi ve Cyber saldırı
Worcester, Massachusetts’te bulunan 19 yaşındaki bir üniversite öğrencisi, büyük bir siber saldırı nedeniyle yargılanma kararı aldı. Bu saldırı sonucunda, PowerSchool isimli eğitim yazılımı şirketine ait öğrencilerin ve öğretmenlerin kişisel verileri tehlikeye atıldı. İddiaya göre, bu saldırgan, şirketten milyonlarca dolar talep etti; aksi takdirde, çalınan verilerin yayımlanacağını söyledi.
Siber Suçlar ve Yasal Süreç
Matthew D. Lane, ABD Adalet Bakanlığı’na göre, dört federal suçlamayı kabul etti. Bu suçlamalar arasında siber zorbalık, izinsiz bilgisayara erişim ve kimlik hırsızlığı yer alıyor. Uygun yasal süreç, bu genç adamın bir telekomünikasyon şirketi üzerinden nasıl veri hırsızlığı yaptığını ortaya seriyor.
Telekomünikasyon Şirketi Üzerinden Veri Hırsızlığı
2022 yılında, Lane ve suç ortakları, bir ABD merkezli telekomünikasyon şirketinin sistemlerine girerek gizli müşteri bilgilerini çaldılar. Bu süreçte, PowerSchool’un bir çalışanına ait şifre bilgileri ele geçirildi. Bu önemli bilgilere eriştikten sonra, Lane ve ortakları, bu bilgileri kullanarak eğitim sektöründe başka bir şirketten fidye talep etmeye karar verdiler.
ABD Adalet Bakanlığı’nın raporuna göre, “Eğer kurban bu fidyeyi ödemezse, bilgileri satabiliriz” mesajını gönderen Lane, aynı zamanda başka bir şirkete sızmak için planlar yapıyordu.
PowerSchool Üzerindeki Saldırı
Raporda PowerSchool’un adı geçmemekle birlikte, BleepingComputer kaynakları, bu şirketin saldırının hedefi olduğunu bildirdi. Saldırganlar, ele geçirilen bilgileri kullanarak PowerSchool’a sızdılar ve 62.4 milyon öğrenci ve 9.5 milyon öğretmene ait verileri çaldılar. Bu bilgilerin arasında öğrencilerin ve öğretmenlerin tam isimleri, adresleri, telefon numaraları, şifreleri, aile bilgileri gibi çok çeşitli kişisel veriler yer alıyordu.
Fidye İsteği ve Sonuçları
PowerSchool, 28 Aralık 2024 tarihinde yaklaşık 2.85 milyon dolar değerinde Bitcoin ile fidye talep edildiğini bildirdi. Tehditkar mesajda, “eğer ödeme yapılmazsa, verilerin dünya genelinde yayımlanacağı” belirtiliyordu. Önceki haberlerde, PowerSchool’un bu fidyeyi ödemek için adımlar attığı, ancak ödenen miktarın tam olarak ne olduğu konusunda bir bilgi bulunmadığı ifade ediliyor.
Fakat, PowerSchool fidyeyi ödedikten sonra bile, saldırganlar bireysel okul bölgeleri üzerinde ek zorbalıklarda bulundular. Bu okul bölgelerine de fidye talepleri gönderildi. Bu talepler, güçlü bir saldırı grubu olan Shiny Hunters tarafından yapıldığını iddia ediyordu. Shiny Hunters, daha önce birçok veri ihlaline imza atmış bir grup olarak biliniyor.
Hukuki Sonuçlar ve Cezalar
Matthew D. Lane, sadece PowerSchool’a yönelik saldırı değil, aynı zamanda telekomünikasyon şirketine yönelik fidye talebi nedeniyle de yargılanacak. Bu şirketten, 200,000 dolar fidye talep eden Lane, bu talebin gerçekleşmesi için şirket yöneticilerine tehditlerde bulunmuştu.
Lane, dört suçlamayı da kabul etti ve kimlik hırsızlığı nedeniyle iki yıl, diğer suçlardan ise her biri için beş yıl hapis cezası alması muhtemel.
Sonuç Olarak
Bu olay, siber güvenliğin önemini bir kez daha gözler önüne seriyor. Eğitim sistemlerinde ve diğer sektörlerde veri güvenliğini sağlamak, bireylerin ve kuruluşların en önemli önceliklerinden biri haline gelmiştir. Bu tür saldırılar, sadece ekonomik kayıplara değil, aynı zamanda güven kaybına da yol açmaktadır. Çeşitli önlemler alarak, bu tür ihlallerin önüne geçmek, hem bireylerin hem de kurumların sorumluluğudur.
