US-Schulbezirke, die von dem jüngsten Cyberangriff auf den Edtech-Riesen PowerSchool betroffen sind, haben Tech mitgeteilt, dass Hacker auf „alle“ historischen Schüler- und Lehrerdaten zugegriffen haben, die in ihren Schülerinformationssystemen gespeichert sind.
PowerSchool, dessen Schulaktensoftware zur Unterstützung von mehr als 50 Millionen Schülern in den Vereinigten Staaten eingesetzt wird, wurde im Dezember von einem Einbruch heimgesucht, der das Kundensupport-Portal des Unternehmens mit gestohlenen Zugangsdaten manipulierte und Zugriff auf Unmengen persönlicher Daten von Schülern und Lehrern ermöglichte in K-12-Schulen. Der Angriff wurde bisher nicht öffentlich einem bestimmten Hacker oder einer bestimmten Gruppe zugeschrieben.
PowerSchool hat nicht gesagt, wie viele seiner Schulkunden betroffen sind. Zwei Quellen aus betroffenen Schulbezirken – die nicht namentlich genannt werden wollten – teilten Tech jedoch mit, dass die Hacker auf Bestände an persönlichen Daten von aktuellen und ehemaligen Schülern und Lehrern zugegriffen hätten.
„In unserem Fall habe ich gerade bestätigt, dass sie alle historischen Schüler- und Lehrerdaten erhalten haben“, sagte die Person in einem betroffenen Schulbezirk gegenüber Tech. Die Person fügte hinzu, dass PowerSchool zwar sagte, die Hacker hätten ab Ende Dezember Zugriff auf ihre Daten gehabt, die Protokolle des Bezirks jedoch zeigen, dass die Angreifer schon früher Zugriff hatten.
Eine andere Person, die in einem Schulbezirk mit fast 9.000 Schülern arbeitet, sagte gegenüber Tech, dass die Angreifer auf „demografische Daten aller Lehrer und Schüler, sowohl der aktiven als auch der historischen, seit wir PowerSchool haben“ zugegriffen hätten.
„Wir haben diesen Zugriff in unseren Protokollen gesehen und [PowerSchool] hat es in Kundenanrufen preisgegeben“, sagte die zweite Person. Sie fügten hinzu, dass PowerSchool das betroffene System nicht mit grundlegenden Schutzmaßnahmen wie der Multi-Faktor-Authentifizierung gesichert habe.
Als PowerSchool-Sprecherin Beth Keebler von Tech kontaktiert wurde, bestritt sie die Konten der Kunden nicht, lehnte es jedoch ab, die Sicherheitskontrollen zu besprechen, und verwies auf die Unternehmensrichtlinien. Auf die Frage, ob PowerSchool in seinem gesamten Unternehmen Multi-Faktor-Sicherheit einsetzt, antwortete Keebler, dass das Unternehmen „MFA einsetzt“, ging jedoch nicht näher darauf ein.
Mehrere Schulbezirke haben öffentlich Informationen darüber veröffentlicht, wie sich der Verstoß gegen PowerSchool auf ihre Schüler und Mitarbeiter auswirkt. Der Menlo Park City School District, ein weiterer von der PowerSchool-Verletzung betroffener Bezirk, bestätigte ebenfalls, dass während der Datenschutzverletzung auf seine historischen Daten zugegriffen wurde. In einen Hinweis auf seiner WebsiteNach Angaben des kalifornischen Schulbezirks haben die Hacker auf Daten „aller aktuellen Schüler und Mitarbeiter“ sowie auf Daten von Schülern und Mitarbeitern seit Beginn des Schuljahres 2009–2010 zugegriffen.
PowerSchool-Sprecher Keebler lehnte es ab, sich zum Ausmaß des Datenverstoßes zu äußern, sagte jedoch gegenüber Tech, dass PowerSchool „die Schulen und Bezirke identifiziert habe, deren Daten betroffen seien“. Das Unternehmen lehnte es ab, die Namen dieser Schulen oder Bezirke öffentlich zu teilen.
Keebler sagte, PowerSchool arbeite immer noch daran, bestimmte Personen zu identifizieren, auf deren Daten möglicherweise zugegriffen wurde.
Marc Racine, Geschäftsführer des in Boston ansässigen Bildungstechnologie-Beratungsunternehmens RootED Solutions, sagte in einem Blogbeitrag Diese Woche wurde bekannt gegeben, dass der PowerSchool-Verstoß auch Schulbezirke betrifft, die ehemalige Kunden von PowerSchool sind, was darauf hindeutet, dass das Ausmaß des Verstoßes über die 18.000 bestehenden Bildungskunden der Organisation hinausgehen könnte.
Racine fügte hinzu, dass einige Schulbezirke die Zahl der betroffenen Schüler melden, die vier- bis zehnmal höher sei als die Zahl der aktiv eingeschriebenen Schüler in ihrem Bezirk.
Laut einer PowerSchool-FAQ, die letzte Woche an Kunden weitergegeben wurde und die Tech gesehen hat, umfassen die bei dem Verstoß gestohlenen Daten Namen und Adressen von Einzelpersonen, Sozialversicherungsnummern, einige medizinische und Noteninformationen sowie andere nicht spezifizierte persönlich identifizierbare Informationen von Schülern und Lehrern .
Der Rancho Santa Fe School District, ein kalifornischer Schulbezirk, der von dem Hack betroffen war und einer der ersten PowerSchool-Kunden war eine eigene Datenschutzverletzungsmeldung einreichen mit staatlichen Aufsichtsbehörden sagte, dass die Angreifer auch auf die Anmeldedaten der Lehrer für den Zugriff auf PowerSchool zugegriffen hätten.
Auf Nachfrage von Tech sagte Keebler, dass „die Art der in der Student Information System (SIS)-Plattform gespeicherten Daten und die Aufbewahrungsrichtlinien für historische Daten je nach den Anforderungen einzelner Kunden und Bundesstaaten variieren.“
„Während unsere Datenüberprüfung noch andauert, gehen wir davon aus, dass bei der Mehrheit der beteiligten Kunden keine Sozialversicherungsnummern oder medizinischen Informationen exfiltriert wurden“, sagte Keebler am Dienstag in einer Erklärung gegenüber Tech.
PowerSchool teilte Tech letzte Woche mit, dass es „geeignete Schritte“ unternommen habe, um die Veröffentlichung der gestohlenen Daten zu verhindern, und sagte, dass es „glaubt, dass die Daten ohne weitere Replikation oder Verbreitung gelöscht wurden“. Das Unternehmen machte keine Angaben zu den von ihm unternommenen Schritten und lehnte es ab, zu sagen, welche Beweise das Unternehmen hatte, die darauf hindeuten, dass die gestohlenen Daten gelöscht wurden.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter [email protected] kontaktieren.