Afperser PowerSchool krijgt 4 jaar cel en moet 14 miljoen dollar betalen
Een 20-jarige Amerikaanse man die wist in te breken op systemen van PowerSchool is in de Verenigde Staten veroordeeld tot een gevangenisstraf van 4 jaar en het betalen van een schadevergoeding van 14 miljoen dollar. Daarnaast kreeg hij ook een boete van 25.000 dollar opgelegd. PowerSchool is een zeer grote aanbieder van software en cloudoplossingen voor onderwijsinstellingen. Het claimt dat meer dan zestig miljoen leerlingen in meer dan negentig landen gebruikmaken van de diensten van het bedrijf.
Vorig jaar werd PowerSchool slachtoffer van een aanval waarbij miljoenen records met persoonlijke informatie van miljoenen studenten en leraren werden buitgemaakt. Vervolgens werd er een bedrag van 2,85 miljoen dollar geëist, anders zouden de aanvaller de gestolen data openbaar maken. PowerSchool betaalde losgeld, maar het exacte bedrag is niet bekend. Het bedrijf zou daarna de 'garantie' hebben gekregen dat de data was vernietigd, maar begin dit jaar werden individuele schooldistricten met de gestolen gegevens afgeperst.
Daarnaast bleek de verdachte ook betrokken te zijn geweest bij het afpersen van een Amerikaanse telecomprovider, waar ook klantgegevens waren buitgemaakt. De Amerikaan werd afgelopen mei aangeklaagd en bekende in juni schuld. Volgens de aanklacht wist de verdachte inloggegevens van een contractor te stelen die voor PowerSchool werkzaam was. Hoe dit werd gedaan werd niet in de aanklacht vermeld. Met deze inloggegevens kon de aanvaller inloggen op een PowerSchool-omgeving en de data buitmaken. PowerSchool liet eerder zelf al weten dat de aanvaller gebruikmaakte van een 'single compromised credential' om de data te stelen.
Tegenwoordig worden bedrijven niet meer gehackt door kwetsbaarheden in hard-/software maar enkel via de medewerkers.
Sorry maar als het over Amerika gaat kan er best altijd vermeld worden of het om een plea deal gaat of niet. In Amerika worden deze immers veel gebruikt wanneer ze de beklaagde bang genoeg kunnen maken, want voor veel bedrijven is het interessanter om gewoon geld te krijgen dan de juiste dader te vinden. In het geval van een plea deal is het dus interessanter om te vermelden dat het een om een plea deal gaat dan specifiek de schuldverklaring te melden.
Voor zover ik kan zien is er in het geval van deze rechtzaak een plea deal gemaakt.
Sorry maar als het over Amerika gaat kan er best altijd vermeld worden of het om een plea deal gaat of niet. In Amerika worden deze immers veel gebruikt wanneer ze de beklaagde bang genoeg kunnen maken, want voor veel bedrijven is het interessanter om gewoon geld te krijgen dan de juiste dader te vinden. In het geval van een plea deal is het dus interessanter om te vermelden dat het een om een plea deal gaat dan specifiek de schuldverklaring te melden.
Waar slaat die wartaal op ?
De aanklager is de enige die gaat over de aanklacht en een eventuele plea deal onderhandelt .
Een slachtoffer (persoon of bedrijf) heeft daar niks over te bepalen - het vergoeden van de schade aan een slachtoffer kan deel zijn van het proces , maar de enige die beslist over wat er strafrechtelijk aan bod komt, met of zonder plea deal is de openbaar aanklager.
(gaat net zo in Nederland trouwens. De officier van justitie - in strafzaken - klaagt aan. De enige inbreng als slachtoffer is 'spreekrecht' - om te vertellen hoe erg het voor je was , maar welke zaken aangeklaagd worden en de strafeis heb je niks over te zeggen).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?