Es ist erst Februar, aber der jüngste Hack von US Edtech Giant PowerSchool hat das Potenzial, einer der größten Verstöße des Jahres zu sein.
PowerSchool, das mehr als 18.000 Schulen K-12-Software zur Verfügung stellt, um rund 60 Millionen Schüler in ganz Nordamerika zu unterstützen, bestätigte den Verstoß Anfang Januar. Das in Kalifornien ansässige Unternehmen, das Bain Capital im Jahr 2024 für 5,6 Milliarden US-Dollar erworben hat, sagte, Hacker verwendeten kompromittierte Anmeldeinformationen, um sein Kundenunterstützungsportal zu verstoßen, um einen weiteren Zugang zum Schulinformationssystem des Unternehmens, PowerSchool SIS, zu ermöglichen. , Anwesenheit und Einschreibung.
„Am 28. Dezember 2024 wurden wir auf einen potenziellen Cybersicherheitsvorfall aufmerksam, der den nicht autorisierten Zugang zu bestimmten PowerSchool-SIS-Informationen über eines unserer von Community ausgerichteten Kundenportale, PowerSource, umfasst“, sagte der Sprecher von Powerschool, Beth Keebler, gegenüber Tech.
PowerSchool war offen für einige Aspekte des Verstoßes. Keebler sagte gegenüber Tech, dass das PowerSource -Portal zum Beispiel getan wurde nicht Unterstützung Multi-Faktor-Authentifizierung zum Zeitpunkt des Vorfalls, während PowerSchool es tat. Eine Reihe wichtiger Fragen bleibt jedoch unbeantwortet.
Tech hat PowerSchool eine Liste mit herausragenden Fragen zu dem Vorfall gesendet, der das Potenzial hat, Millionen von Schülern im US -amerikanischen Keebler zu beeinflussen Vorfallseite des Unternehmens. Am 29. Januar gab das Unternehmen an, Personen zu benachrichtigen, die von Verstößen und staatlichen Aufsichtsbehörden betroffen waren.
PowerSchool teilte den Kunden mit, dass es bis Mitte Januar einen Vorfallbericht der Cybersecurity-Firma Crowdstrike teilen würde, die das Unternehmen zur Untersuchung des Verstoßes einstellte. Aber mehrere Quellen, die an Schulen arbeiten, die von dem Verstoß betroffen sind, teilten Tech mit, dass sie es noch nicht erhalten haben.
Die Kunden des Unternehmens haben auch viele unbeantwortete Fragen, was die von der Verstoß betroffenen Menschen dazu zwingt, zusammenzuarbeiten, um den Hack zu untersuchen.
Hier sind einige der Fragen, die unbeantwortet bleiben.
Es ist nicht bekannt, wie viele Schulen oder Schüler betroffen sind
Tech hat von Schulen gehört, die von der PowerSchool -Verstoßung betroffen sind, dass seine Skala „massiv“ sein könnte. PowerSchool hat sich jedoch wiederholt abgelehnt zu sagen, wie viele Schulen und Einzelpersonen betroffen sind, obwohl es Tech mitteilte, dass sie „die Schulen und Distrikte identifiziert habe, deren Daten an diesem Vorfall beteiligt waren“.
PiepiercomputerUnter Berufung auf mehrere Quellen berichtet, dass der Hacker, der für den PowerSchool -Verstoß verantwortlich ist, angeblich auf die personenbezogenen Daten von mehr als 62 Millionen Schülern und 9,5 Millionen Lehrern zugegriffen hat. PowerSchool hat sich wiederholt abgelehnt zu bestätigen, ob diese Zahl korrekt war.
Während PowerSchool keine Nummer angibt, deuten die jüngsten Einreichungen des Unternehmens bei Generalstaatsanwälten darauf hin, dass Millionen persönliche Informationen im Verstoß gestohlen haben. In einer Einreichung bei der Generalstaatsanwaltschaft von Texas bestätigt Powerschool beispielsweise, dass fast 800.000 Staatsangehörige Daten gestohlen haben.
Die Kommunikation von Verstoß gegen Schulbezirke gibt eine allgemeine Vorstellung von der Größe des Verstoßes. Die Toronto District School Board (TDSB), Kanadas größte Schulbehörde, die jedes Jahr ungefähr 240.000 Schüler bedient, sagte, dass der Hacker möglicherweise auf rund 40 Jahre von Studentendaten zugegriffen hat. mit den Daten von fast 1,5 Millionen Schülern, die in den Verstoß aufgenommen wurden. In ähnlicher Weise der in Kalifornien in Menlo Park City School District in Kalifornien bestätigt dass der Hacker auf Informationen zu allen aktuellen Studenten und Mitarbeitern zugegriffen hat-die jeweils rund 2.700 Schüler und 400 Mitarbeiter sowie Schüler und Mitarbeiter aus dem Schuljahr 2009-10 zurückgehen.
Wir wissen immer noch nicht, welche Arten von Daten gestohlen wurden
Wir wissen nicht nur, wie viele Menschen betroffen waren, sondern wir wissen auch nicht, wie viel oder auf welche Arten von Daten während des Verstoßes zugegriffen wurden.
In einer von Tech, die von Tech, mit seinen Kunden geteilten Kommunikation bestätigte das Unternehmen, dass der Hacker „sensible persönliche Informationen“ über Schüler und Lehrer, einschließlich der Noten, der Besucherzahl und der Demografie der Schüler, gestohlen hatte. Auf der Incident -Seite des Unternehmens heißt es außerdem, dass gestohlene Daten möglicherweise Sozialversicherungsnummern und medizinische Daten enthalten haben, jedoch besagt, dass „aufgrund der Unterschiede in den Kundenanforderungen die Informationen für eine bestimmte Person über unseren Kundenbasis variierten“.
Tech hat auch von mehreren Schulen gehört, die von dem Vorfall betroffen sind, dass „alle“ ihrer historischen Schüler- und Lehrerdaten kompromittiert wurden.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, teilte Tech mit, dass die gestohlenen Daten hochempfindliche Studentendaten enthalten, einschließlich Informationen über die Zugriffsrechte der Eltern für ihre Kinder, einschließlich einschränkender Aufträge und Informationen darüber, wann bestimmte Studenten ihre Medikamente einnehmen müssen.
Eine Quelle, die im Februar mit Tech sprach, ergab, dass PowerSchool die betroffenen Schulen mit einem „SIS -Self -Service“ -Tool zur Verfügung gestellt hat, mit dem Powerschool -Kundendaten abfragen und zusammengefasst werden können, um zu zeigen, welche Daten in ihren Systemen gespeichert sind. PowerSchool teilte jedoch den betroffenen Schulen mit, dass das Tool „möglicherweise nicht genau Daten widerspiegelt, die zum Zeitpunkt des Vorfalls peelisiert wurden“.
Es ist nicht bekannt, ob PowerSchool eigene technische Mittel wie Protokolle hat, um festzustellen, welche Arten von Daten aus bestimmten Schulbezirken gestohlen wurden.
PowerSchool hat nicht gesagt
PowerSchool teilte Tech mit, dass die Organisation „geeignete Schritte“ unternommen habe, um zu verhindern, dass die gestohlenen Daten veröffentlicht werden. In der mit den Kunden geteilten Kommunikation bestätigte das Unternehmen, dass es mit einem Cyber-Extortion-Reaktionsunternehmen zusammenarbeitete, um mit den für die Verstoß verantwortlichen Bedrohungsakteuren zu verhandeln.
Dies bestätigt nur, dass PowerSchool den Angreifern, die gegen seine Systeme verstoßen haben, ein Lösegeld zahlt. Auf die Frage von Tech weigerte sich das Unternehmen jedoch zu sagen, wie viel es bezahlt hat oder wie viel der Hacker verlangte.
Wir wissen nicht, welche Beweise PowerSchool erhalten haben, dass die gestohlenen Daten gelöscht wurden
Keebler von Powerschool sagte gegenüber Tech, dass das Unternehmen „nicht erwartet, dass die Daten geteilt oder veröffentlicht werden“ und „der Ansicht, dass die Daten ohne weitere Replikation oder Verbreitung gelöscht wurden“.
Das Unternehmen hat sich jedoch wiederholt abgelehnt zu sagen, welche Beweise es erhalten hat, um darauf hinzuweisen, dass die gestohlenen Daten gelöscht wurden. Früh Berichte Das Unternehmen habe Videonachweise erhalten, aber PowerSchool würde nicht bestätigen oder leugnen, wenn er von Tech gefragt wurde.
Selbst dann ist der Nachweis der Löschung keineswegs eine Garantie dafür, dass der Hacker immer noch nicht im Besitz der Daten ist. Der jüngste Abschluss der Lockbit Ransomware -Bande in Großbritannien entdeckte Beweise dafür, dass die Bande immer noch Daten zu Opfern hatte, die eine Lösegeldnachfrage gefragt hatten.
Wir wissen noch nicht, wer hinter dem Angriff stand
Einer der größten Unbekannten über den Powerschool -Cyberangriff ist verantwortlich. Das Unternehmen war mit dem Hacker in Verbindung gebracht, hat sich jedoch geweigert, ihre Identität zu enthüllen, falls bekannt. CyberSward, die Organisation für kanadische Vorfälle, mit der PowerSchool zusammengearbeitet hat, reagierte nicht auf die Fragen von Tech.
Die Ergebnisse von Crowdstrikes Untersuchung bleiben ein Rätsel
PowerSchool arbeitet mit Crowdstrike mit Vorfällen zusammen, um den Verstoß zu untersuchen. Den Kunden von PowerSchool wurde mitgeteilt, dass die Ergebnisse des Sicherheitsunternehmens am 17. Januar veröffentlicht werden würden. Der Bericht muss jedoch noch veröffentlicht werden, und die betroffenen Schulbezirke haben Tech mitgeteilt, dass sie den Bericht noch nicht gesehen haben. Crowdstrike lehnte es ab, sich zu äußern, als er von Tech gefragt wurde.
Crowdstrike veröffentlichte im Januar einen Zwischenbericht, den Tech gesehen hat, aber keine neuen Details über den Verstoß enthielt.
Haben Sie weitere Informationen über die PowerSchool -Datenverletzung? Wir würden gerne von Ihnen hören. Über ein Nicht-Work-Gerät können Sie sich mit der Carly-Seite auf Signal unter +44 1536 853968 oder per E-Mail unter [email protected] kontaktieren.