Hackerul care a breach-uit gigantul tehnologic educațional PowerSchool a pretins într-o cerere de extorcare că a furat datele personale ale a 62,4 milioane de elevi și a 9,5 milioane de profesori.
PowerSchool este un furnizor de soluții software bazate pe cloud pentru școlile și districtele K-12 care oferă unelte pentru înscrieri, comunicare, prezență, managementul personalului, sisteme de învățare, analize și finanțe.
Pe 7 ianuarie, PowerSchool a dezvăluit că a suferit un atac cibernetic după ce un actor de amenințare a folosit credențiale furate pentru a accesa portalul de suport pentru clienți PowerSource al companiei.
Folosind această accesare, actorul de amenințare a utilizat o unealtă de acces la mentenanță a suportului pentru clienți pentru a descărca datele elevilor și profesorilor din bazele de date PowerSIS ale districtelor.
Cum a fost raportat și văzut de BleepingComputer, un FAQ a declarat că informații sensibile, cum ar fi numerele de securitate socială, informații medicale și note, au fost furate pentru un subset de elevi afectați de breach.
Acest FAQ a mai declarat că PowerSchool a plătit o răscumpărare pentru a împiedica datele furate să fie divulgate privat, văzând un videoclip al actorului de amenințare pretinzând că va șterge datele.
În timp ce compania a arătat mai multă transparență în FAQ-ul privat pentru clienți decât alte divulgări de securitate, aceștia totuși nu au furnizat încă numere specifice cu privire la câți elevi și profesori au fost afectați de breach, frustând părinții, profesorii și administratorii școlari care au vorbit cu BleepingComputer.
Cu toate acestea, BleepingComputer a primit informații care aruncă mai multă lumină asupra impactului acestui breach.
Potrivit mai multor surse, actorul de amenințare din spatele atacului PowerSchool a pretins că a furat datele a 6.505 districte școlare din SUA, Canada și alte țări într-o cerere de extorcare către companie.
În total, BleepingComputer a fost informat că breach-ul de date PowerSchool a afectat 62.488.628 de elevi și 9.506.624 de profesori.
În informațiile văzute de BleepingComputer, cele mai mari districte afectate presupus de breach-ul PowerSchool sunt:
Este de menționat că numerele pentru consiliile școlare canadiene tind să fie mai mari decât districtele școlare din SUA, deoarece consiliile guvernează toate școlile dintr-o regiune specifică în Canada.
În timp ce PowerSchool nu ar comenta asupra numerelor specifice deoarece investigația este încă în desfășurare, ei au subliniat că tipul de date expuse în breach variază în funcție de district.
PowerSchool spune că districtele școlare decid ce informații sunt stocate în baza de date SIS în funcție de cerințele lor de politică de district sau de stat. Din acest motiv, se așteaptă ca mai puțin de un sfert dintre elevii afectați să-și fi avut numărul de securitate socială expus în breach.
Compania a mai spus că are clienți atât bazate pe cloud, cât și pe site pentru PowerSchool SIS. Pentru districtele care își găzduiesc singure bazele de date, revizuirea datelor este mai complicată deoarece necesită ca districtul să împărtășească informații pentru analiză.
În răspuns la întrebările despre raportarea noastră, PowerSchool a împărtășit următoarea declarație cu BleepingComputer.
„Înțelegem că avem o bază de clienți foarte mare pe PowerSchool SIS, dar simțim că este important să evidențiem faptul că ne așteptăm ca majoritatea persoanelor implicate – de fapt, mai mult de trei sferturi – să nu fi avut numere de securitate socială exfiltrate. Primim multe întrebări despre ce tip de date au fost implicate și este dificil să facem declarații generale deoarece răspunsul variază în funcție de clientul individual și depinde de alegerea clientului și de politicile și cerințele statului sau districtuale.
Ne preocupă profund elevii, profesorii și familiile pe care le servim și suntem pe deplin angajați să-i sprijinim. PowerSchool va oferi doi ani de servicii gratuite de protecție a identității și doi ani de servicii gratuite de monitorizare a creditelor pentru toți elevii și educatori aplicabili ale căror informații au fost implicate. Facem acest lucru indiferent dacă numărul de securitate socială al unei persoane a fost exfiltrat (adică facem acest lucru indiferent dacă suntem sau nu obligați să facem acest lucru prin reglementare). De asemenea, vom face notificări în numele clienților noștri la birourile procurorilor generali de stat, educatori, elevi, părinți și alte părți interesate afectate. Sperăm sincer să eliminăm povara acestor notificări asupra clienților noștri și a instituțiilor lor.”
PowerSchool spune că va oferi 2 ani de protecție a identității și servicii de monitorizare a creditelor gratuite pentru toți elevii și educatori afectați.
Compania va trimite, de asemenea, notificări de breach de date în numele clienților la birourile procurorilor generali de stat și celor afectați. Nu este clar când se va întâmpla acest lucru.
Mai mult, PowerSchool a promis să publice un raport de incidente pe baza investigațiilor CrowdStrike pe 17 ianuarie, dar acea dată a trecut fără ca un raport să fie publicat.
Când li s-a cerut când va fi disponibil raportul, PowerSchool a declarat că CrowdStrike lucrează încă pentru a finaliza raportul forensic, care va fi făcut disponibil clienților când va fi completat.
Între timp, PowerSchool a postat o actualizare la FAQ-ul său doar pentru clienți, spunând că aceștia pot primi un material informativ confidențial de la CrowdStrike cu privire la ceea ce se știe până acum.
PowerSchool a înființat, de asemenea, un site web public dedicat pe care cei afectați îl pot monitoriza pentru actualizări ulterioare.
Leave a Reply