Der Edtech-Riese PowerSchool hat seine Kunden gewarnt, dass Hacker während eines kürzlichen Datenverstoßes auf die hochsensiblen Daten seiner Kunden zugegriffen haben – darunter Sozialversicherungsnummern, Noten und medizinische Informationen von Studenten, wie Tech erfahren hat.
In einer FAQ von Tech, die diese Woche an betroffene Kunden verschickt wurde, sagt PowerSchool, dass während des Verstoßes im Dezember auf „sensible persönliche Daten“ zugegriffen wurde, was PowerSchool am Mittwoch bestätigte.
Die Hacker drangen mit gestohlenen Zugangsdaten in das interne Kundensupportportal von PowerSchool ein, wie das Unternehmen zuvor mitteilte. Der Verstoß betrifft Benutzer des Schulinformationssystems von PowerSchool, das Schulen zur Verwaltung von Schülerakten, Noten, Anwesenheit und Einschreibung verwenden.
PowerSchool sagte in seinen FAQ, dass die gestohlenen Daten zwar in erster Linie Kontaktdaten wie Namen und Adressen von Einzelpersonen umfassten, die Hacker jedoch auch auf Sozialversicherungsnummern sowie einige Gesundheits- und Noteninformationen sowie andere nicht näher bezeichnete persönlich identifizierbare Informationen von Schülern zugreifen konnten und Lehrer.
Das in Kalifornien ansässige Bildungstechnologieunternehmen, der größte Anbieter cloudbasierter Bildungssoftware für den K-12-Unterricht in den Vereinigten Staaten, sagt, dass auch die persönlichen Daten von Eltern und Erziehungsberechtigten, einschließlich Namen, Telefonnummern und E-Mail-Adressen, möglicherweise kompromittiert wurden in einigen Schulbezirken. Das Unternehmen sagte, die Art der gestohlenen Daten werde je nach Kunde unterschiedlich sein.
Die Sprecherin von PowerSchool, Beth Keebler, bestätigte am Donnerstag die Legitimität der Informationen in den FAQ, lehnte es jedoch ab, zu sagen, wie viele Personen von dem Verstoß betroffen sind. PowerSchool gibt an, dass seine Software von über 16.000 Kunden genutzt wird, um mehr als 50 Millionen Schüler in ganz Nordamerika zu unterstützen.
In den FAQ bestätigte PowerSchool, dass es sich bei dem Sicherheitsvorfall nicht um Ransomware handelte, stellte jedoch fest, dass das Unternehmen mit CyberSteward, einer kanadischen Organisation, die Reaktionsdienste für Cyber-Erpressungsvorfälle anbietet, zusammengearbeitet hat, um mit den für den Verstoß verantwortlichen Bedrohungsakteuren zu verhandeln.
Das bestätigt die vorherige Berichterstattung dass PowerSchool das Ziel eines reinen Erpressungsangriffs war und dass es eine finanzielle Summe gezahlt hat, um die Hacker an der Veröffentlichung der gestohlenen Daten zu hindern.
Auf Nachfrage von Tech am Donnerstag wollte PowerSchool nicht sagen, welche Beweise dafür vorliegen, dass die gestohlenen Daten gelöscht wurden. CyberSteward antwortete nicht auf die Fragen von Tech.
„PowerSchool hat alle geeigneten Maßnahmen ergriffen, um einen weiteren unbefugten Missbrauch der betreffenden Daten zu verhindern, und geht nicht davon aus, dass die Daten weitergegeben oder veröffentlicht werden“, sagte Keebler. „PowerSchool geht davon aus, dass die Daten ohne weitere Replikation oder Verbreitung gelöscht wurden.“
PowerSchool wurde 2024 von Bain Capital im Rahmen eines 5,6-Milliarden-Dollar-Deals übernommen. Als sie diese Woche von Tech kontaktiert wurde, gab die Sprecherin von Bain Capital, Rachel Colson, keinen Kommentar ab.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter [email protected] kontaktieren.