PowerSchool İhlali: Hacker, Öğrenci Verileriyle Şantaj Planını İtiraf Etti

21.05.2025

Massachusetts eyaletinin Worcester kentinde yaşayan 19 yaşındaki bir üniversite öğrencisi, milyonlarca öğrenci ve eğitimcinin kişisel verilerinin çalındığı büyük çaplı PowerSchool siber saldırısını düzenlediğini kabul etti. Saldırı sonucunda, çalınan verilerin kamuoyuna sızdırılmaması karşılığında 2.85 milyon dolarlık Bitcoin fidyesi talep edildi.

ABD Adalet Bakanlığı'na göre Matthew D. Lane, siber şantaj komplosu kurmak, korunan sistemlere izinsiz erişim sağlamak ve kimlik hırsızlığı dahil dört federal suçlamayı kabul etti. İhlal, 2022 yılında bir telekomünikasyon şirketine yapılan siber saldırıyla başladı. Bu saldırıda Lane ve ortakları, PowerSchool sistemlerine daha sonra erişmelerini sağlayan bazı giriş bilgilerini ele geçirdi. Bu bilgiler, PowerSchool ile sözleşmeli çalışan üçüncü taraf bir firmanın çalışanına aitti.

Aralık 2024’te, Lane bu çalınan bilgileri kullanarak PowerSchool’un iç sistemlerine erişti ve 62 milyondan fazla öğrenci ile yaklaşık 10 milyon eğitimcinin verilerini ele geçirdi. Ele geçirilen veriler arasında isimler, iletişim bilgileri, Sosyal Güvenlik numaraları, akademik kayıtlar ve diğer özel bilgiler yer alıyordu.

PowerSchool, Bitcoin ile yapılan fidye talebini aldıktan sonra, verilerin sızdırılmaması için ödeme yaptığı bildirildi. Ancak saldırganlar kampanyayı sürdürdü ve bireysel okul bölgelerine yönelik ek fidye talepleri gönderdi. Bu taleplerle birlikte öğrenci verilerinin sızdırılacağı tehdidinde bulunuldu. Bu devam eden şantaj girişimlerinin, kötü şöhretli ShinyHunters hacker grubu tarafından yapıldığı veya bu grup taklit edilerek gerçekleştirildiği iddia ediliyor.

Lane ayrıca, ilk hedef olan telekom şirketine yönelik şantaj girişimi nedeniyle de yargılanıyor. Bu girişim kapsamında şirket yöneticilerine tehditlerde bulunulmuş ve 200.000 dolarlık bir fidye talep edilmişti. Olayla bağlantılı diğer şüphelilere ve siber saldırılara ilişkin soruşturmalar ise hâlâ sürüyor.