Infinite Campus, un système d’information étudiante largement utilisé dans les écoles K-12, a informé ses clients d’une violation de données suite à une tentative d’extorsion par un acteur malveillant.
Dans la notification envoyée aux clients, l’entreprise a indiqué que des hackers avaient accédé au compte Salesforce d’un employé, exposant des informations majoritairement accessibles au public.
Bien que la société n’ait pas publié d’annonce officielle, des clients ont partagé des informations sur l’incident sur plusieurs plateformes publiques.
Cette alerte survient après que le groupe d’extorsion ShinyHunters a revendiqué l’attaque, affichant hier un « dernier avertissement » sur son site du dark web, menaçant de divulguer toutes les données prétendument volées à Infinite Campus.
Les hackers ont donné à la société un délai jusqu’au 25 mars pour établir un contact et négocier une rançon afin d’éviter la fuite de données. Cependant, Infinite Campus a déclaré qu’elle ne dialoguerait pas avec les attaquants.
ShinyHunters prétend avoir volé des dossiers Salesforce contenant des informations personnellement identifiables (PII) ainsi que diverses données internes de l’entreprise.
Source: BleepingComputer
Basée aux États-Unis, cette société de technologie éducative fournit un système d’information pour les étudiants à plus de 3 200 districts scolaires. Actuellement, ses applications gèrent les données de 11 millions d’élèves répartis dans 46 États.
Bien qu’Infinite Campus n’ait pas mentionné ShinyHunters par son nom, elle a qualifié l’intrus de faisant partie d’un groupe connu pour cibler les comptes Salesforce de nombreuses entreprises.
Ce groupe d’extorsion a intensifié son activité au cours de l’année passée, compromettant des centaines d’entreprises et revendiquant plus de 1,5 milliard de dossiers dans le cadre de l’attaque Salesloft Drift et de la récente campagne Salesforce Aura.
Selon les résultats de son enquête, Infinite Campus a affirmé qu’aucune base de données client n’avait été touchée. Les données exposées concernent des noms et coordonnées de personnel scolaire, ainsi que des informations généralement disponibles publiquement.
“Leur cible était l’instance Salesforce d’Infinite Campus, contenant des noms et des informations de contact pour le personnel scolaire; la majorité est composée d’informations de répertoire fréquemment trouvées sur les sites web des écoles”, a précisé l’entreprise.
Source: Reddit
En réponse à cet incident, la société a désactivé certains services à l’attention des clients n’ayant pas de restrictions d’adresse IP afin de minimiser le risque d’exposition de données sensibles.
Parallèlement, elle scanne toutes les données Salesforce susceptibles d’avoir été compromises et contactera les districts potentiellement affectés pour fournir des conseils.
BleepingComputer a tenté de joindre Infinite Campus pour savoir combien de districts scolaires ont été impactés, mais aucune réponse n’a été reçue à ce jour.
Cette affaire rappelle l’attaque de PowerSchool de décembre 2024 en raison du type de plateforme ciblée, même si l’ampleur de l’impact était nettement différente, exposant les informations sensibles de 62 millions d’élèves.
Le hacker associé à cette attaque, un étudiant de 19 ans du Massachusetts, a été condamné à quatre ans de prison après son plaidoyer de culpabilité en mai 2025.