Le district scolaire unifié de Los Angeles a confirmé une violation de données après que des acteurs malveillants ont volé les données d'élèves et d'employés en violant le compte Snowflake de l'entreprise.
SnowFlake est une plateforme de base de données cloud utilisée par certaines des plus grandes entreprises du monde pour stocker leurs données.
Plus tôt ce mois-ci, un acteur malveillant a commencé à vendre des données provenant de nombreuses sociétés, notamment TicketMaster, Satandar Bank, Advance Auto Parts et Pure Storage, le pirate informatique déclarant qu'elles avaient été volées à SnowFlake.
Une enquête conjointe menée par SnowFlake, Mandiant et CrowdStrike a révélé qu'un acteur malveillant, identifié comme UNC5537, a utilisé les informations d'identification de clients volées pour cibler au moins 165 organisations qui n'avaient pas configuré de protection d'authentification multifacteur sur leurs comptes.
Une fois qu’ils ont accédé aux comptes, ils ont téléchargé toutes les données et ont tenté d’extorquer l’entreprise en échange de ne pas vendre ou divulguer les données à d’autres cybercriminels.
LAUSD vendu sur un forum de hackers
Le 18 juin, l'acteur malveillant connu sous le nom de « Sp1d3r », qui vend les données des précédentes attaques de SnowFlake, a également commencé à vendre les données de Los Angeles Unified pour 150 000 $, affirmant les avoir volées à SnowFlake.
L’acteur malveillant déclare que ces données contiennent les noms des étudiants, leurs adresses, leurs noms de famille, leurs données démographiques, leurs données financières, leurs notes, leurs scores de performance, des informations sur le handicap, des détails sur la discipline et des informations sur les parents.
Après avoir examiné un échantillon de données, LAUSD a confirmé à BleepingComputer que les données avaient été volées sur son compte SnowFlake.
« Comme indiqué précédemment, le 6 juin 2024, Los Angeles Unified a pris connaissance d'un compte d'un acteur malveillant prétendant proposer à la vente certaines données d'étudiants et d'employés », a déclaré un porte-parole de Los Angeles Unified à BleepingComputer.
« Grâce à son enquête approfondie et en cours, le district a déterminé que les données en question étaient conservées par un ou plusieurs fournisseurs externes de Los Angeles Unified sur Snowflake, une plate-forme cloud utilisée pour le stockage de masse de données, et semblent avoir été volées dans un manière cohérente avec les vols récemment annoncés impliquant de nombreux comptes Snowflake.
« Jusqu'à présent, l'enquête en cours du district n'a révélé aucune preuve d'une quelconque compromission de nos systèmes ou réseaux ; cependant, l'enquête sur la portée et l'étendue des données concernées est en cours. »
Los Angeles Unified affirme travailler avec le FBI, la CISA et ses fournisseurs pour enquêter plus en profondeur sur l'incident.
Plus d'un acteur malveillant a apparemment eu accès aux données de Los Angeles Unified, puisqu'un autre acteur malveillant nommé « Satanic » a commencé à vendre les données du district près de deux semaines plus tôt, le 6 juin, pour 1 000 $.
Cependant, ces données semblent être différentes de celles volées à SnowFlake, l'acteur malveillant affirmant qu'elles contiennent 26 millions d'enregistrements contenant des informations sur les étudiants actuels et anciens, plus de 24 000 enregistrements d'enseignants et environ 500 contenant des informations sur le personnel.
Cet acteur malveillant l'a désormais publié gratuitement, permettant à tout cybercriminel de le télécharger et de l'utiliser dans ses propres attaques.
Cependant, on ne sait pas exactement d’où proviennent ces données, car elles ne semblent pas provenir de SnowFlake.
BleepingComputer a contacté LAUSD hier soir pour confirmer l'origine des données divulguées par « Satanic », mais n'a pas reçu de réponse.
À ce stade, avec la quantité massive de données de LAUSD désormais partagées sur les forums de piratage, tous ses étudiants, enseignants et membres du personnel devraient considérer leurs données exposées.
Comme il n’est pas rare que d’autres acteurs malveillants utilisent des données divulguées dans leurs campagnes, il est crucial de rester vigilant contre les e-mails, SMS et appels téléphoniques non sollicités tentant de voler des données supplémentaires, telles que des mots de passe.