PowerSchool, gigantul de software pentru educație, a confirmat că a fost afectat de un incident de securitate cibernetică care a permis unui actor de amenințare să fure informațiile personale ale elevilor și profesorilor din districtele școlare care folosesc platforma sa PowerSchool SIS.
PowerSchool este un furnizor de soluții software bazate pe cloud pentru școlile și districtele K-12 care susține peste 60 de milioane de elevi și peste 18.000 de clienți la nivel mondial. Compania oferă o gamă completă de servicii pentru a ajuta districtele școlare să funcționeze, inclusiv platforme pentru înscriere, comunicare, prezență, gestionarea personalului, sisteme de învățare, analize și finanțe.
În timp ce produsele companiei sunt în mare parte cunoscute de districtele școlare și personalul lor, PowerSchool operează și Naviance, o platformă folosită de multe districte K-12 din SUA pentru a oferi unelte personalizate de planificare a colegiului, carierei și pregătirii pentru viață elevilor.
Într-o notificare privind incidentul de securitate cibernetică trimisă clienților marți după-amiază și obținută de la BleepingComputer, PowerSchool spune că au aflat pentru prima dată de încălcarea la data de 28 decembrie 2024, după ce informațiile despre clienții PowerSchool SIS au fost furate prin platforma lor de suport pentru clienți PowerSource.
PowerSchool SIS este un sistem de informații despre elevi (SIS) folosit pentru a gestiona evidențele elevilor, notele, prezența, înscrierea și altele.
„Ca principal punct de contact pentru districtul dvs. școlar, vă contactăm pentru a vă informa că la data de 28 decembrie 2024 PowerSchool a aflat de un posibil incident de securitate cibernetică care implică accesul neautorizat la anumite informații printr-unul dintre portalurile noastre de suport pentru clienți concentrate pe comunitate, PowerSource”, se arată într-o notificare distribuită către BleepingComputer.
După investigarea incidentului, s-a stabilit că actorul de amenințare a obținut acces la portal folosind acreditări compromis, iar datele au fost furate folosind uneltele de suport pentru clienți „export data manager”.
„Partea neautorizată a putut utiliza o acreditare compromisă pentru a accesa unul dintre portalurile noastre de suport pentru clienți concentrate pe comunitate numit PowerSource”, a declarat PowerSchool pentru BleepingComputer într-o declarație.
„PowerSource conține unelte de acces pentru mentenanță care permit inginerilor PowerSchool să acceseze instanțele SIS ale clienților pentru suport continuu și pentru a remedia problemele de performanță.”
Folosind această unealtă, atacatorul a exportat tabelele de baze de date „Elevi” și „Profesori” ale PowerSchool SIS într-un fișier CSV, care apoi a fost furat.
PowerSchool a confirmat că datele furate conțin în principal detalii de contact precum nume și adrese. Cu toate acestea, pentru unele districte, acestea ar putea include, de asemenea, numerele de asigurare socială (SSN), informații de identificare personală (PII), informații medicale și note.
Un purtător de cuvânt al PowerSchool a declarat pentru BleepingComputer că tichetele clienților, acreditivele clienților sau datele forumului nu au fost expuse sau exfiltrate în cadrul încălcării.
Compania a subliniat, de asemenea, că nu toți clienții PowerSchool SIS au fost afectați și că se așteaptă ca doar un subset de clienți să fie nevoiți să emită notificări.
În urma incidentului, compania a colaborat cu experți în securitate cibernetică terți, inclusiv CrowdStrike, pentru a investiga și a atenua incidentul.
Aceasta include rotirea parolelor pentru toate conturile portalului de suport pentru clienți PowerSource și implementarea unor politici mai stricte privind parolele.
Într-un FAQ neobișnuit de transparent accesibil doar clienților, PowerSchool a confirmat, de asemenea, că nu a fost vorba despre un atac ransomware, dar că au plătit un răscumpărare pentru a împiedica datele să fie publicate.
„PowerSchool a angajat serviciile CyberSteward, un consultant profesionist cu o vastă experiență în negocierea cu actorii de amenințare”, se arată într-un FAQ văzut de BleepingComputer.
„Cu ghidajul lor, PowerSchool a primit asigurări rezonabile din partea actorului de amenințare că datele au fost șterse și că nu există copii suplimentare.”
Când li s-a cerut cât au plătit actorilor de amenințare, BleepingComputer a fost informat că „Datorită naturii sensibile a investigației noastre, nu putem oferi informații despre anumite detalii.”
În timp ce compania a declarat că a primit un videoclip care arată că datele au fost șterse, așa cum se întâmplă cu toate atacurile de extorcare date, nu există niciodată o garanție de sută la sută că acestea au fost șterse.
Compania monitorizează acum în mod continuu dark web-ul pentru a determina dacă datele au fost divulgate sau vor fi divulgate în viitor.
Pentru cei afectați, PowerSchool oferă servicii de monitorizare a creditului pentru adulții afectați și servicii de protecție a identității pentru minorii afectați.
PowerSchool spune că operațiunile sale rămân neafectate, iar serviciile continuă ca de obicei în ciuda încălcării.
Compania notifică acum districtele școlare afectate și va furniza un pachet de comunicare care include emailuri de informare, puncte de discuție și întrebări frecvente pentru a ajuta la informarea profesorilor și familiilor despre incident.
Într-un fir de discuție Reddit despre incident, personalul IT al districtelor școlare a spus că clienții pot detecta dacă datele au fost furate verificând dacă un utilizator de mentenanță numit „200A0” este listat în fișierele ps-log-audit.
„Puteți corela accesul la jurnalul de audit cu exporturile de date în masă după timp în jurnalele de date în masă”, a sfătuit un client PowerSchool SIS.
Un alt client a împărtășit că jurnalele lor au arătat că tabelele Elevi și Profesori au fost exportate la data de 22 decembrie 2024.
„Minunat, am jurnale din 22/12 pentru Students_export.csv și Teachers_export.csv de la o adresă IP ucraineană”, a declarat un alt client.
BleepingComputer a aflat că compania va oferi, de asemenea, ghiduri detaliate clienților pentru a verifica dacă au fost afectați și pentru a determina ce a fost descărcat.
Investigația este în desfășurare, iar se așteaptă ca firma de securitate cibernetică CrowdStrike să lanseze un raport finalizat până la data de 17 ianuarie 2025.
PowerSchool spune că sunt angajați pentru transparență și vor împărtăși raportul cu districtele școlare afectate atunci când acesta va fi gata.
Actualizare 7/1/25: Greșeală corectată care indica în mod eronat că acreditivele clienților, tichetele și baza de date a forumului au fost exfiltrate.
Leave a Reply