Jovem de 19 anos admite ter sofrido extorsão por violação de dados da PowerSchool

Um estudante universitário de 19 anos enfrenta acusações após se declarar culpado de extorsão cibernética contra a PowerSchool, expondo dados de mais de 60 milhões de alunos e 10 milhões de professores. Saiba mais sobre as repercussões dessa violação considerada a maior da história das escolas dos EUA.

Um estudante universitário de 19 anos, Matthew D. Lane, de Sterling, Massachusetts, concordou em se declarar culpado em um caso de extorsão cibernética envolvendo duas empresas dos EUA, incluindo a PowerSchool , uma grande fornecedora de software educacional.

O Departamento de Justiça dos EUA ( DOJ ) anunciou em 20 de maio que Lane, um estudante da Universidade Assumption, é acusado de hackear redes de computadores e exigir pagamento de resgate.

De acordo com a acusação (PDF), ele enfrenta várias acusações, incluindo conspiração para extorsão cibernética, acesso não autorizado a computadores e roubo de identidade agravado.

Embora a declaração oficial do Departamento de Justiça não cite o nome do fornecedor do software educacional, entende-se que seja a PowerSchool, uma plataforma amplamente utilizada em escolas nos EUA e Canadá, adquirida pela Bain Capital em outubro de 2024.

A PowerSchool relatou pela primeira vez acesso não autorizado ao seu portal de suporte ao cliente PowerSource em 28 de dezembro de 2024. Essa violação expôs dados pertencentes a mais de 60 milhões de alunos e 10 milhões de professores de 6.505 distritos escolares em todo o mundo. Afetou conselhos escolares em várias províncias canadenses, incluindo Ontário, Saskatchewan, Alberta, Terra Nova e Labrador, etc.

As informações roubadas eram extensas, incluindo nomes completos, endereços, números de telefone, senhas, dados dos pais, números de Seguro Social, dados médicos e até notas. Inicialmente, a PowerSchool não confirmou o pagamento do resgate.

No entanto, como noticiou recentemente o Hackread.com, a empresa admitiu o pagamento em maio, depois que os invasores começaram a contatar diretamente os distritos escolares, exigindo dinheiro adicional. A PowerSchool declarou: "Lamentamos sinceramente esses acontecimentos — nos dói saber que nossos clientes estão sendo ameaçados e novamente vítimas de criminosos."

Vale ressaltar que, antes de atacar a PowerSchool, Lane e seus supostos cúmplices tentaram extorquir uma empresa de telecomunicações dos EUA em 2022. Eles roubaram dados de clientes e exigiram US$ 200.000 para impedir sua divulgação pública, mas a tentativa não teve sucesso.

Em seguida, o grupo voltou sua atenção para a PowerSchool. Em 28 de dezembro de 2024, a PowerSchool recebeu um pedido de resgate em Bitcoin de aproximadamente US$ 2,85 milhões, com ameaças de divulgar os dados roubados caso o pagamento não fosse efetuado.

Apesar do pagamento do resgate pela PowerSchool (o valor exato ainda não foi confirmado), os distritos escolares afetados ainda receberam novas demandas, levando a PowerSchool a divulgar publicamente o pagamento. Essas ameaças contínuas levaram hackers a visar diretamente escolas e professores em busca de mais pagamentos, informou a Hackread na época.

Lane concordou em se declarar culpado de uma acusação de conspiração para extorsão cibernética, extorsão cibernética, acesso não autorizado a computadores protegidos e roubo de identidade qualificado. Ele enfrenta penalidades significativas se condenado, incluindo penas de prisão que variam de dois a cinco anos, multas de até US$ 250.000 e liberdade condicional.

Kimberly Milka, agente especial interina encarregada da Divisão de Boston do FBI , enfatizou o comprometimento do FBI em responsabilizar os criminosos cibernéticos, afirmando: "Matthew Lane aparentemente pensou que havia encontrado uma maneira de enriquecer rapidamente, mas esse jovem de 19 anos agora é acusado de se esconder atrás do teclado para obter acesso não autorizado".

Uma audiência de confissão de culpa para Lane ainda não foi marcada, e ele é considerado inocente até que se prove o contrário.