ロサンゼルス統一学区は、同社のSnowFlakeアカウントに侵入した脅威者が生徒と従業員のデータを盗み、データ漏洩を確認した。
SnowFlakeはクラウドデータベースプラットフォームで、世界中の大企業がデータを保存するために使用している。
今月初め、脅威行為者がTicketMaster、Satandar Bank、Advance Auto Parts、Pure Storageなど多数の企業のデータを販売し始め、ハッカーはそれがSnowFlakeから盗まれたものであると述べた。
SnowFlake、Mandiant、CrowdStrikeの共同調査により、UNC5537として追跡されている脅威行為者が、盗んだ顧客認証情報を使用して、アカウントに多要素認証保護を設定していない少なくとも165の組織を標的としていたことが明らかになりました。
彼らはアカウントにアクセスすると、すべてのデータをダウンロードし、他のサイバー犯罪者にデータを販売または漏えいしないことと引き換えに、企業を恐喝しようとしました。
LAUSD、ハッカー・フォーラムで販売
6月18日、過去のSnowFlake攻撃のデータを販売している「Sp1d3r」として知られる脅威行為者は、SnowFlakeから盗んだとして、Los Angeles Unifiedのデータも15万ドルで販売し始めた。
![LAUSD SnowFlake data for sale on a hacking forum](https://www.bleepstatic.com/images/news/security/d/data-breaches/lausd/sp1d3r-lausd.jpg)
Source :
この脅威者は、このデータには生徒名、住所、家族名、人口統計、財務、成績、成績採点、障害情報、懲戒の詳細、保護者情報が含まれているとしている。
データのサンプルを確認した後、LAUSDはデータがSnowFlakeアカウントから盗まれたことを確認した。
「前述の通り、2024年6月6日、LAUは、特定の生徒と従業員のデータを売りに出すと称する悪意のある行為者のアカウントに気づきました。
“広範かつ継続的な調査を通じて、当地区は、問題のデータは、大量のデータ保存に使用されるクラウドベースのプラットフォームであるSnowflake上で、1つまたは複数のLos Angeles Unifiedの外部ベンダーによって管理されており、最近公表された多数のSnowflakeアカウントを含む盗難と一致する方法で盗まれたようであると判断しました。”
“これまでのところ、地区の進行中の調査では、私たちのシステムやネットワークへの侵害の証拠は見つかっていませんが、影響を受けたデータの範囲と程度についての調査は継続中です。”
Los Angeles Unifiedは、FBI、CISA、ベンダーと協力して、このインシデントをさらに調査しているという。
2週間ほど前の6月6日には、「Satanic」という名前の別の脅威者が同地区のデータを1,000ドルで売り始めており、複数の脅威者がロサンゼルス・ユニファイドのデータにアクセスしたようだ。
しかし、このデータはSnowFlakeから盗まれたデータとは異なるようで、脅威行為者は、現在および過去の生徒情報を含む2,600万件のレコード、2万4,000件以上の教師レコード、約500件の職員情報が含まれていると主張している。
![Alleged LAUSD stolen data for sale online](https://www.bleepstatic.com/images/news/u/1109292/2024/LAUSD_stolen-data-sold-online.png)
ソースは こちら:
この脅威者は現在、このデータを無料で公開しており、サイバー犯罪者であれば誰でもダウンロードして自身の攻撃に使用することができる。
しかし、このデータはSnowFlakeのものではなさそうなので、どこから来たのかは不明である。
サタニック』によって流出したデータの出所を確認するため、昨夜LAUSDに問い合わせたが、回答は得られなかった。
現時点では、LAUSDの膨大なデータがハッキング・フォーラムで共有されており、LAUSDのすべての生徒、教師、職員は、自分たちのデータが流出したと考えるべきである。
流出したデータを他の脅威者がキャンペーンに利用することは珍しくないため、パスワードなどの追加データを盗もうとする迷惑メール、テキスト、電話に対する警戒を怠らないことが重要である。
Comments