Breaking News

Apa yang tidak akan dikatakan Powerschool tentang pelanggaran data mereka yang mempengaruhi jutaan siswa

Apa yang tidak akan dikatakan Powerschool tentang pelanggaran data mereka yang mempengaruhi jutaan siswa

Hanya pada bulan Februari, tetapi trik raksasa Edtech baru -baru ini di AS.

Powerschool, yang menyediakan perangkat lunak K-12 ke lebih dari 18.000 sekolah untuk mendukung sekitar 60 juta siswa di Amerika Utara, mengkonfirmasi pemerkosaan pada awal Januari. Perusahaan yang berbasis di California, Bain Capital yang diperoleh $ 5,6 miliar pada tahun 2024Dia mengatakan bahwa perompak komputer menggunakan kredensial yang berkomitmen untuk melanggar portal layanan pelanggan mereka, memungkinkan akses yang lebih besar ke sistem informasi sekolah perusahaan, Powerschool SIS, yang digunakan sekolah untuk mengelola catatan, kualifikasi, bantuan, dan pendaftaran siswa.

“Pada tanggal 28 Desember 2024, kami menyadari kemungkinan insiden keamanan siber yang melibatkan akses tidak sah ke informasi tertentu dari SIS Powerschool melalui salah satu portal klien pelanggan yang berpusat pada komunitas kami, juru bicara PowerSchool, ke TechCrunch.

Powerschool telah dibuka tentang beberapa aspek pemerkosaan. Keebler mengatakan kepada TechCrunch bahwa portal PowerSource, misalnya, melakukannya TIDAK mendukung Otentikasi multifaktor pada saat kejadian, sementara Powerschool melakukannya. Tetapi serangkaian pertanyaan penting tetap tidak terjawab.

TechCrunch mengirim Powerschool daftar pertanyaan yang tertunda tentang insiden tersebut, yang berpotensi mempengaruhi jutaan siswa di Amerika Serikat, Keebler menolak untuk menjawab pertanyaan kami, mengatakan bahwa semua pembaruan yang terkait dengan pelanggaran akan diterbitkan di halaman insiden perusahaan. Pada tanggal 29 Januari, kata perusahaan itu mulai memberi tahu individu dipengaruhi oleh pemerkosaan dan regulator negara.

Powerschool mengatakan kepada pelanggan bahwa ia akan berbagi di pertengahan Januari laporan insiden dari perusahaan cybersecurity crowdstrike, yang disewa perusahaan untuk menyelidiki pelanggaran tersebut. Tetapi beberapa sumber yang bekerja di sekolah -sekolah yang terkena dampak pemerkosaan mengatakan kepada TechCrunch bahwa mereka belum menerimanya.

Pelanggan perusahaan juga memiliki banyak pertanyaan tanpa tanggapan, Memaksa mereka yang terkena dampak pelanggaran bekerja bersama untuk menyelidiki peretasan.

Ini adalah beberapa pertanyaan yang tetap tidak terjawab.

Tidak diketahui berapa banyak sekolah atau siswa yang terpengaruh

TechCrunch telah mendengar dari sekolah yang terkena dampak pemerkosaan Powerschool bahwa skalanya bisa “besar.” Namun, Powerschool telah berulang kali menolak untuk mengatakan berapa banyak sekolah dan individu yang terpengaruh meskipun memberi tahu TechCrunch bahwa ia telah “mengidentifikasi sekolah dan distrik yang datanya terlibat dalam insiden ini.”

Komputer bleepingMengutip banyak sumber, ia memberi tahu bahwa peretas yang bertanggung jawab atas pelanggaran powerschool yang seharusnya mengakses data pribadi lebih dari 62 juta siswa dan 9,5 juta guru. Powerschool telah berulang kali menolak untuk mengkonfirmasi apakah angka ini tepat.

Meskipun Powerschool tidak akan memberikan angka, presentasi perusahaan baru -baru ini dengan jaksa penuntut umum negara menunjukkan bahwa jutaan orang telah mencuri informasi pribadi dalam pelanggaran tersebut. Dalam presentasi kepada Jaksa Agung Texas, misalnya, Powerschool menegaskan bahwa hampir 800.000 penduduk negara bagian telah mencuri data.

Komunikasi distrik sekolah yang diperkosa memberikan gambaran umum tentang ukuran pelanggaran. Dewan Sekolah Distrik Toronto (TDSB), dewan sekolah terbesar di Kanada yang melayani sekitar 240.000 siswa setiap tahun, Dia mengatakan peretas Mungkin telah mengakses sekitar 40 tahun data siswa, Dengan data hampir 1,5 juta siswa yang diambil dalam pelanggaran. Demikian pula, Distrik Sekolah Kota Menlo Park di California dikonfirmasi Bahwa peretas mengakses informasi tentang semua siswa dan staf saat ini, masing-masing menambah hingga 2.700 siswa dan 400 karyawan, serta siswa dan personel yang kembali pada awal tahun ajaran 2009-10.

Kami masih tidak tahu jenis data apa yang dicuri

Kami tidak hanya tidak tahu berapa banyak orang yang terpengaruh, tetapi kami tidak tahu berapa banyak atau jenis data apa yang diakses selama pelanggaran.

Dalam komunikasi yang dibagikan dengan kliennya pada awal Januari, dilihat oleh TechCrunch, perusahaan mengkonfirmasi bahwa peretas mencuri “informasi pribadi rahasia” kepada siswa dan guru, termasuk nilai, bantuan dan demografi siswa. Halaman insiden perusahaan juga menetapkan bahwa data curian mungkin telah memasukkan nomor jaminan sosial dan data medis, tetapi mengatakan bahwa “karena perbedaan dalam persyaratan pelanggan, informasi yang dieksfiltrasi untuk individu tertentu bervariasi di basis kami dari basis pelanggan kami”.

TechCrunch juga memiliki Saya mendengarkan Dari beberapa sekolah yang terkena dampak insiden bahwa “semua” data historis mereka tentang siswa dan guru berkomitmen.

Seseorang yang bekerja di distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa data curian mencakup data dari siswa yang sangat rahasia, termasuk informasi tentang hak akses orang tua untuk anak -anak mereka, termasuk perintah pembatasan dan informasi tentang ketika siswa tertentu yang mereka butuhkan untuk minum obat.

Sebuah sumber yang berbicara dengan TechCrunch pada bulan Februari mengungkapkan bahwa PowerSchool telah menyediakan sekolah layanan “SIS” yang terkena dampak yang dapat berkonsultasi dan meringkas data pelanggan Powerschool untuk menunjukkan data apa yang disimpan dalam sistem mereka. Powerschool mengatakan kepada sekolah -sekolah yang terkena dampak, bahwa alat “tidak dapat secara tepat mencerminkan data yang dieksfiltrasi pada saat kejadian.”

Tidak diketahui apakah Powerschool memiliki sarana teknisnya sendiri, seperti catatan, untuk menentukan jenis data apa yang dicuri dari distrik sekolah tertentu.

Powerschool belum mengatakan berapa banyak dia membayar peretas yang bertanggung jawab atas pelanggaran tersebut

Powerschool mengatakan kepada TechCrunch bahwa organisasi telah mengambil “langkah yang tepat” untuk mencegah data curian yang diterbitkan. Dalam komunikasi yang dibagikan dengan pelanggan, perusahaan mengkonfirmasi bahwa mereka bekerja dengan perusahaan respons perusahaan untuk bernegosiasi dengan aktor ancaman yang bertanggung jawab atas pelanggaran tersebut.

Ini hampir menegaskan bahwa Powerschool membayar penyelamatan kepada para penyerang yang melanggar sistem mereka. Namun, ketika TechCrunch bertanya kepadanya, perusahaan menolak untuk mengatakan berapa banyak yang dia bayar atau berapa banyak tuntutan peretas.

Kami tidak tahu bukti apa yang diterima Powerschool bahwa data curian telah dihapus.

Keebler dari Powerschool mengatakan kepada TechCrunch bahwa perusahaan “tidak mengantisipasi data yang dibagikan atau dipublikasikan” dan bahwa “percaya bahwa data telah dihilangkan tanpa replikasi atau penyebaran tambahan.”

Namun, perusahaan telah berulang kali menolak untuk mengatakan bukti apa yang telah diterima untuk menunjukkan bahwa data curian telah dihilangkan. Lebih awal informasi Dia mengatakan perusahaan menerima tes video, tetapi Powerschool tidak mengkonfirmasi atau menyangkal ketika TechCrunch bertanya kepadanya.

Bahkan kemudian, tes eliminasi sama sekali tidak merupakan jaminan bahwa peretas belum memiliki data; Pembongkaran baru -baru ini dari ransomware Lockbit Inggris menemukan bukti bahwa Geng itu masih memiliki data milik para korban yang telah membayar permintaan penyelamatan.

Kami masih tidak tahu siapa yang ada di balik serangan itu

Salah satu yang tidak diketahui terbesar tentang serangan cyber Powerschool adalah yang bertanggung jawab. Perusahaan telah berkomunikasi dengan peretas, tetapi telah menolak untuk mengungkapkan identitasnya, jika diketahui. Cybersteward, organisasi respons insiden Kanada dengan mana Powerschool bekerja untuk bernegosiasi, tidak menjawab pertanyaan TechCrunch.

Hasil penelitian crowdstrike masih menjadi misteri

Powerschool bekerja dengan perusahaan respons terhadap insiden crowdstrike untuk menyelidiki pelanggaran tersebut. Pelanggan Powerschool diberitahu bahwa temuan perusahaan keamanan akan diterbitkan pada 17 Januari. Namun, laporan itu belum dipublikasikan, dan distrik sekolah yang terkena dampak mengatakan kepada TechCrunch bahwa mereka belum melihat laporan itu. Crowdstrike menolak berkomentar ketika TechCrunch bertanya kepadanya.

CrowdStrike menerbitkan laporan sementara pada bulan Januari, yang telah dilihat TechCrunch, tetapi tidak mengandung detail baru tentang pelanggaran tersebut.

Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran data powerschool? Kami ingin tahu tentang Anda. Dari perangkat non -labor, Anda dapat berkomunikasi dengan halaman Carly dengan aman pada sinyal di +44 1536 853968 atau melalui email ke carly.page@techcrunch.com.

Sumber