Matthew Lane se declaró culpable de su participación en la violación de datos escolares y fue sentenciado a cuatro años de prisión federal. Intentar otra vez
CHARLOTTE, Carolina del Norte – Un hombre de Massachusetts fue sentenciado el martes a cuatro años de prisión federal por piratear una empresa de software educativo y robar datos personales de millones de estudiantes y maestros, incluidas escuelas y distritos de Charlotte-Mecklenburg en Carolina del Norte y del Sur.
Matthew Lin, de 20 años, fue sentenciado a 24 meses de prisión por fraude informático y 24 meses consecutivos por el caso de violación de datos. A Lin también se le ordenó pagar más de 14 millones de dólares en restitución, una multa de 25.000 dólares y cumplir tres años de libertad supervisada.
Lane se declaró culpable de conspiración para extorsionar cibernéticamente, extorsión cibernética, acceso no autorizado a computadoras protegidas y robo de identidad agravado en relación con el hackeo de PowerSchool, el sistema de información estudiantil obligatorio de Carolina del Norte. La violación comprometió los datos de las escuelas y distritos de Charlotte-Mecklenburg en todo el país.
PowerSchool, que contiene datos básicos de los estudiantes, incluidos nombres, fechas de nacimiento, puntajes de exámenes e información de contacto, se vio comprometido el 28 de diciembre de 2024, cuando las credenciales de un empleado contratado se vieron comprometidas. La empresa notificó al Departamento de Instrucción Pública de Carolina del Norte 10 días después, el 7 de enero.
CMS dijo que es posible que se hayan filtrado datos personales de estudiantes y maestros en el ataque, aunque el distrito dijo que no estaba seguro de qué datos específicos se vieron comprometidos.
“Es importante enfatizar que no había nada que las escuelas de Charlotte-Mecklenburg o NCDPI pudieran haber hecho para evitar este incidente de ciberseguridad”, dijo el distrito en un comunicado. “Ni nuestras escuelas ni NCDPI tienen acceso administrativo al túnel de mantenimiento donde ocurrió la infracción”.
Según documentos judiciales, Lin utilizó credenciales de inicio de sesión robadas para acceder a la red informática del software y a la empresa de almacenamiento en la nube que presta servicios a los sistemas escolares en los Estados Unidos, Canadá y otros lugares. Lin supuestamente transfirió información de identificación personal de estudiantes y profesores a un servidor informático que alquiló en Ucrania.
Posteriormente, las víctimas recibieron amenazas de que la información relacionada con más de 60 millones de estudiantes y 10 millones de maestros (incluidos nombres, direcciones de correo electrónico, números de teléfono, números de Seguro Social, fechas de nacimiento, información médica, direcciones residenciales, información de padres y tutores y contraseñas) se “filtraría… en todo el mundo” si la empresa no pagaba un rescate de alrededor de 2,85 millones de dólares en bitcoins.
El Departamento de Educación de Carolina del Sur dijo que todos los distritos del estado, excepto cuatro, se vieron afectados por la violación, lo que indica que el acceso a la información era posible en los distritos del área de Charlotte. Las áreas no afectadas son el condado de Edgefield, el condado de Greenville, el condado de Horry y el segundo distrito de Richland.
PowerSchool dijo a los funcionarios estatales que los datos se tomaron de dos tablas que incluían información de contacto básica para familias y maestros. Algunas de estas tablas pueden incluir números de Seguro Social y otra información.
La fiscal federal Leah B. dijo: Al anunciar los cargos, Foley dijo: “La extorsión cibernética es un ataque peligroso a nuestra economía y a todos nosotros”. “Como se alega, este acusado robó información privada de millones de niños y maestros, impuso importantes costos financieros a sus víctimas e infundió miedo en los padres de que la información de sus hijos pudiera filtrarse a manos de delincuentes”.
Carolina del Norte abandonó PowerSchool y adoptó un nuevo sistema llamado Infinite Campus en julio.
Matthew Lane se declaró culpable de su participación en la violación de datos escolares y fue sentenciado a cuatro años de prisión federal.
Los miembros del público que tengan preguntas o inquietudes sobre si la información de un estudiante o maestro en particular puede haber sido comprometida deben comunicarse con su distrito escolar local.
