Le fabricant de logiciels Brightly a confirmé que des pirates avaient volé près de trois millions de comptes d’utilisateurs SchoolDude lors d’une violation de données en avril.
SchoolDude est un système de gestion des bons de travail basé sur le cloud, utilisé principalement par les écoles et les universités, pour soumettre et suivre les commandes de maintenance. Ses utilisateurs sont les employés de l’école, tels que les directeurs, les cadres et les préposés à l’entretien, ainsi que les étudiants et les autres membres du personnel soumettant des demandes de réparation.
Dans un avis de violation de données déposé auprès du bureau du procureur général du Maine, Brightly a déclaré qu’il informait les clients passés et actuels que les pirates avaient pris leurs noms, adresses e-mail, mots de passe de compte et numéros de téléphone, s’ils étaient ajoutés au compte. Les données comprennent également les noms des districts scolaires.
Brightly a déclaré qu’il réinitialisait les mots de passe des clients, une pratique courante lorsque les connexions des utilisateurs sont exposées. La société a averti les utilisateurs de changer les mots de passe sur d’autres comptes en ligne qui utilisent les mêmes informations d’identification que celles qu’ils ont utilisées sur SchoolDude. Cela fait référence au credential stuffing, où les pirates utilisent les mots de passe des violations de données précédentes pour s’introduire dans d’autres comptes d’utilisateurs avec les mêmes mots de passe. Un administrateur système sur Reddit, qui a reçu l’avis de violation de données, a déclaré que les mots de passe volés n’étaient pas cryptés.
Lorsqu’elle a été contactée pour commenter, la porte-parole Annie Satow n’a pas contesté que les mots de passe volés de SchoolDude n’étaient pas cryptés, mais a refusé de commenter au-delà de l’avis de violation de données de l’entreprise. Brightly a également refusé de dire comment la violation s’est produite, ou de dire qui – le cas échéant – était responsable de la supervision de la cybersécurité dans l’entreprise au moment de la violation.
Brightly a déclaré dans son avis avoir découvert la brèche le 28 avril, plus d’une semaine après le vol massif de données.
Siemens a acheté Brightly, anciennement connu sous le nom de Dude Solutions, en 2022 auprès du propriétaire de capital-investissement Clearlake Capital dans le cadre d’un accord de 1,6 milliard de dollars. À l’époque, Brightly avait déclaré avoir 12 000 entreprises clientes, principalement au Royaume-Uni, au Canada, en Australie et aux États-Unis.