Un pirate a compromis le géant américain de la technologie éducative PowerSchool des mois avant sa faille de données "massive" en décembre, selon un rapport d'analyse forensique publié sur l'incident réalisé par la société américaine de cybersécurité CrowdStrike.
Dans une lettre envoyée aux clients concernés la semaine dernière, consultée par TechCrunch, PowerSchool a confirmé qu'une enquête sur l'incident a révélé que son réseau a connu une "activité non autorisée avant décembre", que CrowdStrike a daté d'au moins août 2024.
PowerSchool avait auparavant indiqué avoir détecté un accès non autorisé à ses systèmes entre le 19 décembre et la découverte de la compromission le 28 décembre 2024.
Dans son rapport, CrowdStrike a déclaré qu'un pirate a utilisé les mêmes identifiants de support compromis utilisés dans la faille de décembre pour accéder au réseau de PowerSchool entre le 16 août 2024 et le 17 septembre 2024. Ces identifiants ont été utilisés pour accéder à PowerSchool PowerSource, le même portail de support client compromis dans la faille de décembre pour accéder au système d'information des écoles de PowerSchool (SIS).
PowerSource "permet à un technicien de support disposant de suffisamment d'autorisations d'accéder aux instances de base de données SIS des clients à des fins de maintenance", selon CrowdStrike.
CrowdStrike a déclaré qu'il n'a pas trouvé "suffisamment de preuves pour attribuer cette activité à l'acteur de menace responsable de l'activité en décembre 2024", car les données de journalisation de PowerSchool "ne remontaient pas assez loin". Cependant, les conclusions de CrowdStrike suggèrent que la faille de décembre de PowerSchool aurait pu être évitée si les identifiants compromis avaient été changés plus tôt.
Lorsqu'on a demandé à PowerSchool par TechCrunch lundi, la porte-parole de PowerSchool, Beth Keebler, a refusé de dire si la société était au courant de cet accès antérieur à son réseau avant la publication du rapport de CrowdStrike.
De nombreuses questions subsistent concernant la faille de PowerSchool, telles que le nombre total de personnes concernées. PowerSchool a maintes fois refusé de fournir un chiffre exact, bien que des rapports suggèrent que les informations personnelles de plus de 60 millions d'élèves ont été consultées.
