一名十几岁的大学生计划承认在被指控窃取与数百万学生和教师有关的数据后,对K-12学生信息系统平台提供商PowerSchool进行勒索。

美国检察官上周公布了对马萨诸塞州马修D的黑客,勒索和身份盗窃指控。19岁的莱恩以及他周二签署的一项协议,承诺对多项指控认罪。

检察官说,莱恩是马萨诸塞州伍斯特的罗马天主教大学Assumption University的学生。对他的指控最高可判处17年监禁。法院尚未安排日期听取被告的变更请求。

他的律师没有立即回应置评请求。

对Lane的指控涉及对两个不同的组织的攻击:一家美国电信公司,以及“一家为美国,加拿大和其他地方的学校系统提供服务的软件和云存储公司”。虽然检察官没有指定受害者,但与第二名受害者有关的细节和时间与对加利福尼亚州福尔瑟姆的袭击完全匹配。

PowerSchool的违规行为导致美国,加拿大以及自治的英国海外领土百慕大的信息被盗。

PowerSchool的平台根据学生入学人数,存储了约6000万K-12学生和教师的信息,涉及超过18,000名客户 – 包括美国前100个地区中的90多个。正如Bleeping Computer首次报道的那样,攻击者声称窃取了6240万学生和950万教师的个人数据,尽管这一说法无法得到证实。

Lane还被指控要求PowerSchool提供30个比特币,当时价值约285万美元,以换取承诺不泄露被盗数据。

“这名被告窃取了数百万儿童和教师的私人信息,给他的受害者带来了巨大的经济成本,并向父母灌输了对孩子信息泄露到罪犯手中的恐惧 – 所有这些都是为了在他的黑客带中放一个缺口，”Leah B说。弗利,美国马萨诸塞州律师。

本月早些时候,有人开始使用被盗数据直接勒索受影响的学校,导致PowerSchool公开表示它支付了攻击后赎金 – 金额尚未披露 – 试图阻止这一结果。

被盗的证书 与违约有关

PowerSchool于1月8日首次警告学校和地区,上个月一名黑客入侵了其网络。该公司于去年10月以56亿美元的价格被贝恩资本收购,将其私有化,立即聘请事件响应公司CrowdStrike进行调查,后来发布了最终事件报告。

根据法庭文件,2024年9月,Lane使用分配给为PowerSchool工作的承包商的被盗登录凭据来访问其网络并窃取学生和教师数据。2024年12月19日,他从一家位于乌克兰的云存储提供商那里租用了空间,第二天泄露了姓名,出生日期,机密医疗信息,社会安全号码以及PowerSchool存储的学生和教师的其他信息。

根据法庭文件,勒索很快随之而来,PowerSchool于2024年12月28日收到30个比特币的需求,除非它希望看到被盗信息被泄露。

PowerSchool没有立即回应有关对Lane的指控的评论请求,尽管它在给The Record的一份声明中表示,虽然它无法对活跃案件发表评论,但它仍然“专注于直接与我们的客户一起处理此事”以及“致力于服务”学生,教师和教师。

至少有23起寻求集体诉讼地位的诉讼已经针对PowerSchool提起了违规行为。

电信 受害者

检察官还指控Lane与伊利诺伊州的一名未具名的同谋以及“美国律师已知和未知的其他人”一起,获取最初于2022年10月从一家美国电信公司窃取的敏感客户信息。根据法庭文件,在2024年4月左右,嫌疑人利用这些数据试图向该公司勒索20万美元,后来减少到75,000美元,以换取承诺不泄露数据。

根据法庭文件,在与受害者的谈判中,当被问及任何赎金支付将提供什么保证时,莱恩回答说:“我们现在是唯一拥有这些数据副本的人。停止这种胡说八道,或者你的高管和员工会看到同样的命运。做出正确的决定并支付赎金。如果你继续拖延,它会被泄露。

检察官说,Lane和他的同谋者使用加密的Signal消息应用程序在协调他们的摇晃时相互通信。

认罪协议

莱恩的认罪协议指出,他将承认网络勒索阴谋,网络勒索,未经授权的访问和加重的身份盗窃指控,这些指控与黑客入侵两名不同的受害者有关。

对Lane的指控每项最高可判处五年监禁,但严重身份盗窃除外,该身份盗窃规定强制性的两年监禁,以连续服刑计算机犯罪指控。任何服刑的最终判决都由联邦地区法院法官作出。

根据他的认罪协议条款,莱恩将同意不质疑法官判处的任何相当于9年零3个月或更少的刑期。他还将承认控制与攻击相关的12个门罗币 – 又名XMR – 钱包地址,并同意没收它们,以及额外的160,981美元资产以及法官可能命令的任何进一步恢复。