Тысячи школ, миллионы жертв и один 19-летний студент: задержан виновник взлома PowerSchool

19-летний студент колледжа из Вустера, штат Массачусетс, признал свою вину в масштабной кибератаке на PowerSchool — одного из крупнейших образовательных провайдеров, чьи платформы используются миллионами учащихся и преподавателей. Преступление повлекло за собой не только утечку конфиденциальных данных, но и вымогательство миллионов долларов в криптовалюте в обмен на нераспространение этой информации.

По данным Минюста США, Мэттью Д. Лейн признал свою вину по четырём федеральным пунктам обвинения: участие в сговоре с целью вымогательства через интернет, непосредственное вымогательство, несанкционированный доступ к защищённым компьютерам и отягчённая кража личных данных. Ведомство подтвердило, что обвиняемый действовал не в одиночку — в деле фигурируют и другие участники, чьи личности пока не разглашаются.

Расследование установило, что ещё в 2022 году Лейн и его соучастники взломали американскую телекоммуникационную компанию, получив доступ к данным её клиентов. В ходе атаки они также заполучили учётные данные сотрудника подрядчика, связанного с PowerSchool, что впоследствии стало ключом к главной цели — образовательной платформе.

Сначала злоумышленники пытались вымогать $200 тысяч у телеком-компании, угрожая руководству, а затем, когда требуемая сумма не была выплачена, переключились на PowerSchool . В декабре 2024 года, используя полученные ранее логины и пароли, они проникли в платформу PowerSource, а затем при помощи встроенного инструмента администрирования выгрузили базы данных.

В результате атаки были скомпрометированы персональные сведения 62,4 миллиона учеников и 9,5 миллиона учителей из 6505 школьных округов в США, Канаде и других странах. В утечке фигурировали имена, адреса, телефоны, пароли, сведения о родителях, номера социального страхования, медицинские данные и оценки.

28 декабря злоумышленники потребовали от PowerSchool выплату в размере 2,85 миллиона долларов в биткойнах. В противном случае они пригрозили опубликовать украденные данные в открытом доступе. Хотя компания, по сообщениям, выплатила выкуп, точная сумма остаётся неизвестной. Однако даже после этого преступники начали отдельное вымогательство у школ — запрашивая дополнительные выплаты за «неразглашение» информации.

Согласно уведомлениям школ и информации от DataBreaches.net, письма с угрозами подписывались именем ShinyHunters — известной группировки, причастной к атакам на SnowFlake и взлому AT&T в 2022 году, когда пострадали 109 миллионов пользователей. Несмотря на арест ряда участников этой группировки, остаётся вероятность, что атаки осуществляли другие её члены либо подражатели, пытавшиеся создать ложный след.

На данный момент Мэттью Лейн ожидает приговора. Ему грозит обязательный срок минимум в два года тюремного заключения за кражу личности и до пяти лет по каждому из остальных трёх обвинений.

Громкое преступление стало очередным напоминанием об уязвимости даже самых масштабных цифровых инфраструктур — особенно в сфере образования, где хранится огромный массив данных, нередко практически не защищённых