Raksasa teknologi pendidikan PowerSchool mengatakan kepada pelanggannya bahwa mereka mengalami “insiden keamanan siber” yang memungkinkan peretas mengkompromikan data pribadi siswa dan guru di distrik sekolah K-12 di seluruh Amerika Serikat.
PowerSchool yang berbasis di California, yaitu diakuisisi oleh Bain Capital seharga $5,6 miliar pada tahun 2024adalah penyedia perangkat lunak pendidikan berbasis cloud terbesar untuk pendidikan K-12 di AS, melayani lebih dari 75% siswa di Amerika Utara, menurut situs web perusahaan. PowerSchool mengatakan perangkat lunaknya digunakan oleh lebih dari 16.000 pelanggan untuk mendukung lebih dari 50 juta siswa di Amerika Serikat.
Dalam surat yang dikirim ke pelanggan yang terkena dampak pada hari Selasa dan diterbitkan dalam laporan berita lokalPowerSchool mengatakan pihaknya mengidentifikasi pada 28 Desember bahwa peretas berhasil membobol portal dukungan pelanggan PowerSource, sehingga memungkinkan akses lebih besar ke sistem informasi sekolah perusahaan, PowerSchool SIS, yang digunakan sekolah untuk mengelola catatan, nilai, kehadiran siswa, dan pendaftaran. Surat itu mengatakan penyelidikan perusahaan menemukan bahwa para peretas memperoleh akses “menggunakan kredensial yang dikompromikan.”
PowerSchool belum mengatakan jenis data apa yang diakses selama insiden tersebut atau berapa banyak orang yang terkena dampak pelanggaran tersebut.
Juru bicara PowerSchool Beth Keebler mengkonfirmasi kejadian tersebut melalui email ke TechCrunch, tetapi menolak menjawab pertanyaan spesifik tentang insiden tersebut. Bain Capital telah menanggapi pertanyaan TechCrunch.
“Kami telah mengambil semua tindakan yang tepat untuk mencegah data yang terlibat dari akses tidak sah atau penyalahgunaan lebih lanjut,” kata Keebler. “Insiden ini sudah terkendali dan kami tidak mengantisipasi data tersebut dibagikan atau dipublikasikan. “PowerSchool tidak mengalami atau memperkirakan akan mengalami gangguan operasional apa pun dan terus memberikan layanan seperti biasa kepada pelanggan kami.”
Sifat serangan siber tidak diketahui. komputer berdering melaporkan bahwa dalam FAQ yang dikirim ke pengguna yang terkena dampak, PowerSchool mengatakan tidak mengalami serangan ransomware, tetapi perusahaan tersebut diperas untuk membayar sejumlah uang untuk mencegah peretas membocorkan data yang dicuri. PowerSchool mengatakan kepada publikasi tersebut bahwa nama dan alamat terungkap dalam pelanggaran tersebut, namun informasi tersebut mungkin juga mencakup nomor Jaminan Sosial, informasi medis, nilai, dan informasi pengenal pribadi lainnya. PowerSchool tidak menyebutkan berapa jumlah yang dibayar perusahaan.
PowerSchool tadinya digugat dalam gugatan class action pada bulan November 2024, yang menuduh bahwa perusahaan tersebut secara ilegal menjual data siswa tanpa izin untuk tujuan komersial. Menurut gugatan tersebut, kumpulan data siswa yang dimiliki perusahaan berjumlah sekitar “345 terabyte data yang dikumpulkan dari 440 distrik sekolah.”
“PowerSchool mengumpulkan informasi yang sangat rahasia ini dengan kedok dukungan pendidikan, namun pada kenyataannya mengumpulkannya untuk keuntungan komersialnya sendiri,” sambil bersembunyi di balik “persyaratan layanan yang tidak jelas yang tidak dapat dipahami oleh siapa pun,” demikian tuduhan dalam gugatan tersebut.
Diperbarui dengan umpan balik dari PowerSchool.