Raksasa Edtech PowerSchool memperingatkan pelanggannya bahwa peretas mengakses informasi pelanggan yang sangat sensitif, termasuk nomor jaminan sosial siswa, nilai dan informasi medis, selama pelanggaran data baru-baru ini, menurut laporan yang dipelajari TechCrunch.
Dalam FAQ yang diperoleh TechCrunch yang dikirimkan ke pelanggan yang terkena dampak minggu ini, PowerSchool mengatakan bahwa “informasi pribadi sensitif” diakses selama pelanggaran bulan Desember. yang dikonfirmasi oleh PowerSchool pada hari Rabu.
Peretas membobol portal dukungan pelanggan internal PowerSchool menggunakan kredensial curian, kata perusahaan itu sebelumnya. Pelanggaran ini mempengaruhi pengguna sistem informasi sekolah PowerSchool, yang digunakan sekolah untuk mengelola catatan siswa, nilai, kehadiran dan pendaftaran.
PowerSchool mengatakan dalam FAQ-nya bahwa meskipun data yang dicuri terutama mencakup rincian kontak seperti nama dan alamat orang, para peretas juga dapat mengakses nomor Jaminan Sosial, informasi medis dan kelas tertentu, dan informasi identitas pribadi lainnya yang tidak disebutkan milik siswa dan guru .
Perusahaan teknologi pendidikan yang berbasis di California, penyedia perangkat lunak pendidikan berbasis cloud untuk pendidikan K-12 terbesar di Amerika Serikat, mengatakan bahwa informasi pribadi orang tua dan wali, termasuk nama, nomor telepon, dan alamat email, juga berpotensi terkena dampaknya. dikompromikan. di beberapa distrik sekolah. Perusahaan mengatakan jenis data yang dicuri akan berbeda-beda tergantung pelanggan.
Juru bicara PowerSchool Beth Keebler mengkonfirmasi keabsahan informasi di FAQ pada hari Kamis, namun menolak mengatakan berapa banyak orang yang terkena dampak pelanggaran tersebut. PowerSchool mengklaim perangkat lunaknya digunakan oleh lebih dari 16.000 pelanggan untuk mendukung lebih dari 50 juta siswa di seluruh Amerika Utara.
Dalam FAQ, PowerSchool mengonfirmasi bahwa insiden keamanan tersebut bukan bersifat ransomware, namun mencatat bahwa pihaknya bekerja sama dengan CyberSteward, sebuah organisasi Kanada yang menawarkan layanan respons terhadap insiden pemerasan siber, untuk bernegosiasi dengan pelaku ancaman yang bertanggung jawab atas pelanggaran tersebut.
Ini mengkonfirmasi laporan sebelumnya bahwa PowerSchool adalah target serangan pemerasan murni dan membayar sejumlah uang untuk mencegah peretas mempublikasikan data yang dicuri.
PowerSchool menolak untuk mengatakan bukti apa yang menunjukkan bahwa data yang dicuri telah dihapus, ketika ditanya oleh TechCrunch pada hari Kamis. CyberSteward tidak menanggapi pertanyaan dari TechCrunch.
“PowerSchool telah mengambil semua tindakan yang tepat untuk mencegah data yang terlibat dari penyalahgunaan lebih lanjut dan tidak mengantisipasi bahwa data tersebut akan dibagikan atau dipublikasikan,” kata Keebler. “PowerSchool yakin data tersebut telah dihapus tanpa replikasi atau penyebaran lebih lanjut.”
PowerSchool diakuisisi oleh Bain Capital pada tahun 2024 dalam kesepakatan $5,6 miliar. Saat dihubungi oleh TechCrunch minggu ini, juru bicara Bain Capital Rachel Colson tidak memberikan komentar.
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran data PowerSchool? Kami ingin sekali mendengar pendapat Anda. Dari perangkat non-kerja, Anda dapat menghubungi Carly Page dengan aman di Signal di +44 1536 853968 atau melalui email di carly.page@techcrunch.com.