PowerSchool: credencial única sem MFA expõe dados de 62 milhões de estudantes

Em dezembro de 2024, um atacante de 19 anos invadiu o portal de suporte ao cliente da PowerSchool — maior provedor de sistemas de informação escolar (SIS) dos EUA — utilizando credenciais comprometidas de um funcionário. A ausência de autenticação multifator no portal foi o fator determinante para o sucesso do ataque.

Os dados exfiltrados incluíam números de seguridade social (SSN), informações médicas, histórico acadêmico e dados pessoais de 62 milhões de estudantes e 9,5 milhões de professores de distritos escolares K-12 em todo o país. A PowerSchool pagou resgate para obter garantias de não divulgação, mas em maio de 2025 distritos escolares individuais começaram a receber novas demandas de extorsão com as mesmas amostras de dados — demonstrando que o pagamento de resgate não garante a eliminação dos dados.

O perpetrador, Matthew D. Lane, foi identificado e condenado a quatro anos de prisão federal. O caso tornou-se referência sobre os riscos de credenciais sem MFA em sistemas críticos com dados pessoais sensíveis.

Organizações que utilizam portais SaaS com acesso a dados de grande escala devem obrigatoriamente habilitar MFA, implementar monitoramento de acesso privilegiado e conduzir revisões periódicas de acesso a sistemas de suporte e administração. A política de pagamento de resgate deve ser decidida com assessoria jurídica especializada, considerando que o pagamento não garante a não reutilização dos dados.

Fonte: BleepingComputer / TechCrunch.