Matthew D. Lane, estudante universitário de 19 anos de Worcester, Massachusetts, foi condenado a quatro anos de prisão por liderar um ataque cibernético contra a PowerSchool em dezembro de 2024, que resultou em um vazamento massivo de dados.
A PowerSchool é uma fornecedora de soluções de software baseadas em nuvem para escolas e distritos escolares do ensino fundamental e médio, atendendo mais de 18 mil clientes no mundo todo e suportando mais de 60 milhões de estudantes.
De acordo com documentos judiciais, a juíza distrital dos EUA Margaret R. Guzman determinou, na última terça-feira, a sentença de quatro anos de prisão para Lane, além de restituição de 14 milhões de dólares e multa de 25 mil dólares.
Lane se declarou culpado em maio de 2025 de quatro acusações federais: acesso não autorizado a computadores protegidos, conspiração para extorsão cibernética, extorsão cibernética e roubo agravado de identidade.
Segundo o Departamento de Justiça dos EUA, Lane e seus comparsas usaram credenciais roubadas de um subcontratado para invadir o portal PowerSource, ferramenta de suporte ao cliente da PowerSchool, em 19 de dezembro de 2024.
Eles também exploraram uma ferramenta de manutenção para baixar bancos de dados escolares contendo informações pessoais de 9,5 milhões de professores e 62,4 milhões de alunos de 6.505 distritos escolares no mundo todo.
Entre os dados sensíveis roubados estavam nomes completos, endereços, números de telefone, senhas, informações de responsáveis, contatos, números de Seguro Social e dados médicos de alunos e funcionários afetados.
Em 28 de dezembro, os criminosos enviaram pedidos de resgate no valor de 2,85 milhões de dólares em Bitcoin.
As cartas de resgate eram atribuídas ao grupo Shiny Hunters, um coletivo criminoso conhecido por diversas invasões, incluindo o vazamento de dados da AT&T em 2022, que atingiu 109 milhões de pessoas, os ataques ao SnowFlake e várias invasões à Salesforce.
Embora a PowerSchool tenha pago um resgate para evitar a divulgação dos dados, o valor exato não foi revelado.
Mesmo após o pagamento, Lane e seus cúmplices tentaram extorquir individualmente os distritos escolares afetados para que pagassem valores adicionais, ameaçando divulgar dados de estudantes.
Em março, a PowerSchool revelou que agentes maliciosos haviam invadido o PowerSource em agosto e setembro de 2024, usando as mesmas credenciais comprometidas.
No entanto, uma investigação da CrowdStrike não encontrou evidências que ligassem o mesmo atacante a essas três invasões.
No mês passado, o procurador-geral do Texas, Ken Paxton, abriu uma ação contra a PowerSchool por não proteger os dados de famílias e escolas texanas e por enganar clientes quanto às suas práticas de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...