Matthew D. Lane, estudiante universitario de 19 años de Worcester (Massachusetts) fue sentenciado a cuatro años de prisión por haber orquestado un ciberataque contra PowerSchool en diciembre de 2024, que resultó en una gigante brecha de datos.
PowerSchool es un proveedor de soluciones de software en la nube para escuelas y distritos K-12, con más de 18.000 clientes en todo el mundo y más de 60 millones de estudiantes bajo su gestión.
Según documentos judiciales, la juez federal Margaret R. Guzman condenó a Lane a cuatro años de prisión, además de ordenar que pague 14 millones de dólares en restitución y una multa de 25.000 dólares.
Lane se declaró culpable en mayo de 2025 de cuatro cargos federales: acceso no autorizado a computadoras protegidas, conspiración de extorsión cibernética, extorsión cibernética y robo de identidad agravado.
Detalles del ataque
El Departamento de Justicia de EE.UU. informó que Lane y sus cómplices utilizaron credenciales robadas a un subcontratista para vulnerar el portal de soporte al cliente PowerSource el 19 de diciembre de 2024.
Con una herramienta de mantenimiento, descargaron bases de datos escolares con información personal de:
- 9,5 millones de profesores
- 62,4 millones de estudiantes
- 6.505 distritos escolares a nivel mundial
Entre los datos robados se encontraban: nombres completos, direcciones físicas, números de teléfono, contraseñas, información de los padres, detalles de contacto, números de Seguridad Social y datos médicos de estudiantes y todo el personal de la propia empresa.
El 28 de diciembre, los atacantes enviaron demandas de rescate por 2,85 millones de dólares en Bitcoin, haciéndose pasar por Shiny Hunters, un grupo de amenazas conocido por varias brechas anteriores..
Entre las que se incluyen:
- Brecha de AT&T en 2022 (109 millones de personas afectadas)
- Ataques a SnowFlake
- Varias brechas en Salesforce
Aunque PowerSchool pagó un rescate para prevenir la filtración de datos, aún se desconoce la cantidad exacta pagada. Incluso tras recibir el pago, Lane y sus cómplices intentaron extorsionar individualmente a distritos escolares para obtener pagos adicionales a cambio de no filtrar nada.
En marzo, PowerSchool, también, reveló que los crackers habían vulnerado PowerSource previamente en agosto y septiembre de 2024 usando las mismas credenciales comprometidas.
Repercusiones legales
El mes pasado, el Fiscal General de Texas (Ken Paxton), demandó a PowerSchool por no proteger los datos de familias y distritos escolares de Texas y por engañar a los clientes sobre sus prácticas de seguridad.