Hacker PowerSchool Dijatuhi Hukuman 4 Tahun Penjara

Seorang mahasiswa berusia 19 tahun asal Massachusetts, Matthew D. Lane, dijatuhi hukuman 4 tahun penjara karena menjadi otak di balik serangan siber terhadap PowerSchool pada Desember 2024 yang menyebabkan kebocoran data besar-besaran jutaan siswa dan guru di seluruh dunia.

Serangan Siber terhadap Platform Pendidikan Global

PowerSchool adalah penyedia perangkat lunak berbasis cloud untuk sekolah K-12 dengan lebih dari 18.000 pelanggan di seluruh dunia, mendukung lebih dari 60 juta pelajar.

Menurut dokumen pengadilan, Hakim Distrik AS Margaret R. Guzman menjatuhkan hukuman 4 tahun penjara kepada Lane pada hari Selasa (14/10), serta denda sebesar USD 25.000 dan restitusi senilai USD 14 juta untuk kerugian yang ditimbulkan.

Lane mengaku bersalah pada Mei 2025 atas empat dakwaan federal:

1. Akses tidak sah ke komputer yang dilindungi,
2. Konspirasi pemerasan siber,
3. Pemerasan siber, dan
4. Pencurian identitas yang diperberat.

Kronologi Serangan PowerSchool

Berdasarkan penyelidikan Departemen Kehakiman AS, Lane dan komplotannya menggunakan kredensial curian dari subkontraktor PowerSchool untuk menembus portal PowerSource pada 19 Desember 2024.
Dari sana, mereka memanfaatkan alat pemeliharaan internal untuk mengunduh basis data berisi:

• Data pribadi 9,5 juta guru
• Data 62,4 juta siswa dari 6.505 distrik sekolah di seluruh dunia

Informasi yang dicuri mencakup:

• Nama lengkap
• Alamat rumah dan nomor telepon
• Detail akun dan kata sandi
• Data orang tua atau wali
• Nomor Jaminan Sosial (SSN)
• Informasi medis siswa

Pemerasan Digital Bergaya “Shiny Hunters”

Pada 28 Desember 2024, pelaku mengirimkan surat tebusan senilai USD 2,85 juta dalam Bitcoin, mengaku sebagai kelompok Shiny Hunters — sindikat peretasan terkenal yang juga terlibat dalam insiden kebocoran data AT&T (2022) dan serangan Snowflake serta Salesforce.

Meskipun PowerSchool dilaporkan membayar uang tebusan untuk mencegah kebocoran data, jumlah pastinya tidak diungkapkan.
Namun, Lane dan rekan-rekannya tetap mencoba memeras sekolah-sekolah secara individual dengan ancaman membocorkan data siswa jika tidak membayar tambahan tebusan.

Insiden Sebelumnya dan Dampak Hukum

Investigasi oleh CrowdStrike menemukan bahwa PowerSource juga pernah diretas pada Agustus dan September 2024 menggunakan kredensial yang sama, namun tidak ada bukti kuat bahwa semua serangan dilakukan oleh pelaku yang sama.

Pada September 2025, Jaksa Agung Texas Ken Paxton menggugat PowerSchool karena dianggap lalai melindungi data keluarga dan sekolah Texas, serta menyesatkan pelanggan mengenai praktik keamanannya.

Pesan dari Kasus Ini

Kasus PowerSchool menjadi pengingat keras bahwa:

• Rantai pasokan (supply chain) TI pendidikan sangat rentan terhadap penyalahgunaan kredensial.
• Kebocoran data pendidikan dapat memiliki dampak jangka panjang terhadap siswa dan keluarga.
• Pembayaran tebusan tidak menjamin keamanan data — bahkan bisa memicu pemerasan lanjutan.

Sumber: BleepingComputer