Am 7. Januar um 23:10 Uhr erhielt Romy Backus in Dubai eine E-Mail vom Bildungstechnologieriesen PowerSchool, in der sie darüber informiert wurde, dass die Schule, an der sie arbeitet, eines der Opfer eines Datenverstoßes war, den das Unternehmen am 28. Dezember entdeckt hatte. PowerSchool sagte, dass es sich um Hacker handelte hatte auf ein Cloud-System zugegriffen, das eine Fülle privater Daten von Schülern und Lehrern enthielt, darunter Sozialversicherungsnummern, medizinische Informationen, Noten und andere persönliche Daten von Schulen auf der ganzen Welt.
Angesichts der Tatsache, dass PowerSchool sich selbst als den größten Anbieter von Cloud-basierter Bildungssoftware für K-12-Schulen – rund 18.000 Schulen und mehr als 60 Millionen Schüler – in Nordamerika bezeichnet, könnten die Auswirkungen „massiv“ sein, wie ein Techniker bei einem betroffenen Unternehmen erklärte Die Schule erzählte Tech. Quellen in den von dem Vorfall betroffenen Schulbezirken teilten Tech mit, dass Hacker auf „alle“ historischen Daten ihrer Schüler und Lehrer zugegriffen hätten, die in ihren von PowerSchool bereitgestellten Systemen gespeichert seien.
Backus arbeitet an der American School of Dubai, wo sie das PowerSchool SIS-System der Schule verwaltet. Schulen verwenden dieses System – dasselbe System, das gehackt wurde –, um Schülerdaten wie Noten, Anwesenheit, Einschreibung und auch sensiblere Informationen wie Sozialversicherungsnummern und Krankenakten der Schüler zu verwalten.
Am nächsten Morgen, nachdem sie die E-Mail von PowerSchool erhalten hatte, sagte Backus, sie sei zu ihrem Vorgesetzten gegangen, habe die Protokolle der Schule zum Umgang mit Datenverstößen ausgelöst und mit der Untersuchung des Verstoßes begonnen, um genau zu verstehen, was die Hacker aus ihrer Schule gestohlen hätten, da PowerSchool nichts bereitgestellt habe alle Details zu ihrer Schule in seiner Offenlegungs-E-Mail.
„Ich habe angefangen zu graben, weil ich mehr wissen wollte“, sagte Backus gegenüber Tech. „Ich sage mir nur, okay, wir sind betroffen. Großartig. Nun, was wurde genommen? Wann wurde es aufgenommen? Wie schlimm ist es?“
„Sie waren nicht bereit, uns die konkreten Informationen zu liefern, die die Kunden brauchten, um unsere eigene Sorgfaltspflicht erfüllen zu können“, sagte Backus.
Bald darauf erkannte Backus, dass andere Administratoren an Schulen, die PowerSchool verwenden, versuchten, die gleichen Antworten zu finden.
„Einiges davon hatte mit der verwirrenden und inkonsistenten Kommunikation von PowerSchool zu tun“, so einer der halben Dutzend Schulmitarbeiter, die mit Tech unter der Bedingung sprachen, dass weder sie noch ihr Schulbezirk namentlich genannt werden.
„Zu [PowerSchool]Man muss ihnen zugute halten, dass sie ihre Kunden tatsächlich sehr schnell darauf aufmerksam gemacht haben, insbesondere wenn man die Tech-Branche als Ganzes betrachtet, aber ihrer Kommunikation mangelte es an verwertbaren Informationen und sie war im schlimmsten Fall irreführend, im besten Fall geradezu verwirrend“, sagte die Person.
Kontaktieren Sie uns
Haben Sie weitere Informationen zum PowerSchool-Verstoß? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
In den ersten Stunden nach der Benachrichtigung von PowerSchool versuchten die Schulen, das Ausmaß des Verstoßes herauszufinden oder herauszufinden, ob überhaupt ein Verstoß vorliegt. Die E-Mail-Listenserver der PowerSchool-Kunden, auf denen sie üblicherweise Informationen miteinander austauschen, „explodierten“, wie Adam Larsen, der stellvertretende Schulleiter des Community Unit School District 220 in Oregon, Illinois, gegenüber Tech ausdrückte.
Die Community erkannte schnell, dass sie auf sich allein gestellt war. „Wir brauchen ein schnelles Handeln unserer Freunde, da sie den Informationen von PowerSchool derzeit nicht wirklich vertrauen können“, sagte Larsen.
„Es herrschte große Panik und man las nicht, was bereits geteilt wurde, und stellte dann immer wieder dieselben Fragen“, sagte Backus.
Dank ihrer eigenen Fähigkeiten und Kenntnisse des Systems konnte Backus schnell herausfinden, welche Daten an ihrer Schule kompromittiert wurden, und begann, ihre Erfahrungen mit anderen Mitarbeitern anderer betroffener Schulen zu vergleichen. Als ihr klar wurde, dass es sich bei dem Verstoß um ein Muster handelte, und sie vermutete, dass dies auch bei anderen der Fall sein könnte, beschloss Backus, eine Anleitung mit Details wie der spezifischen IP-Adresse, die die Hacker für den Angriff auf Schulen verwendet haben, und den entsprechenden Schritten zusammenzustellen Wir müssen den Vorfall untersuchen und feststellen, ob ein Systemverstoß vorliegt und welche konkreten Daten gestohlen wurden.
Am 8. Januar um 16:36 Uhr Dubaier Zeit, weniger als 24 Stunden nachdem PowerSchool alle Kunden benachrichtigt hatte, Backus sagte, sie habe ein freigegebenes Google-Dokument gesendet auf WhatsApp in Gruppenchats mit anderen PowerSchool-Administratoren in Europa und im Nahen Osten, die häufig Informationen und Ressourcen austauschen, um sich gegenseitig zu helfen. Später an diesem Tag, nachdem sie mit mehr Leuten gesprochen und das Dokument verfeinert hatte, sagte Backus, sie habe es auf gepostet die PowerSchool-Benutzergruppeein inoffizielles Supportforum für PowerSchool-Benutzer mit mehr als 5.000 Mitgliedern.
Seitdem ist das Dokument wurde regelmäßig aktualisiert und ist auf fast 2.000 Wörter angewachsenwas innerhalb der PowerSchool-Community effektiv viral wird. Laut Backus, die einen Bit.ly-Shortlink erstellt hat, mit dem sie sehen kann, wie viele Personen auf den Link geklickt haben, wurde das Dokument bis Freitag mehr als 2.500 Mal aufgerufen. Mehrere Personen haben die vollständige Webadresse des Dokuments öffentlich auf Reddit und anderen geschlossenen Gruppen geteilt, daher ist es wahrscheinlich, dass noch viel mehr das Dokument gesehen haben. Zum Zeitpunkt des Verfassens dieses Artikels befanden sich rund 30 Leser auf dem Dokument.
Am selben Tag teilte Backus ihr Dokument, das Larsen veröffentlichte ein Open-Source-Werkzeugsatzsowie ein How-to-Videomit dem Ziel, anderen zu helfen.
Das Dokument von Backus und die Tools von Larsen sind ein Beispiel dafür, wie die Gemeinschaft der Mitarbeiter an Schulen, die gehackt wurden – und diejenigen, die tatsächlich nicht gehackt wurden, aber dennoch von PowerSchool benachrichtigt wurden – sich zusammenschlossen, um sich gegenseitig zu unterstützen. Schulmitarbeiter mussten aufgrund der langsamen und unvollständigen Reaktion von PowerSchool darauf zurückgreifen, sich gegenseitig zu helfen und auf Crowdsourcing-Art und Weise auf den Verstoß zu reagieren, angetrieben aus Solidarität und Notwendigkeit, so das halbe Dutzend Mitarbeiter der betroffenen Schulen, die sich an der Community beteiligten Aufwand und sprachen über ihre Erfahrungen mit Tech.
Mehrere andere Schulmitarbeiter unterstützten sich gegenseitig In mehrere Reddit Threads. Einige davon wurden auf veröffentlicht der Subreddit der K-12-Systemadministratorenwo Benutzer überprüft und verifiziert werden müssen, um Beiträge veröffentlichen zu können.
Doug Levin, Mitbegründer und nationaler Direktor einer gemeinnützigen Organisation, die Schulen bei der Cybersicherheit unterstützt, dem K12 Security Information eXchange (K12 SIX), der veröffentlicht hat eigene FAQ über den PowerSchool-Hack sagte gegenüber Tech, dass diese Art der offenen Zusammenarbeit in der Community weit verbreitet sei, aber „der PowerSchool-Vorfall von so großem Ausmaß ist, dass er offensichtlicher ist.“
„Der Sektor selbst ist ziemlich groß und vielfältig – und im Allgemeinen haben wir noch nicht die Infrastruktur für den Informationsaustausch aufgebaut, die in anderen Sektoren für Cybersicherheitsvorfälle existiert“, sagte Levin.
Levin betonte die Tatsache, dass der Bildungssektor auf eine offene Zusammenarbeit über informellere, manchmal öffentliche Kanäle angewiesen ist, oft weil die Schulen im Allgemeinen unterbesetzt sind, wenn es um IT-Fachkräfte geht, und es ihnen an Fachwissen im Bereich Cybersicherheit mangelt.
Ein anderer Schulmitarbeiter sagte gegenüber Tech: „Für so viele von uns haben wir nicht die Mittel für die gesamten Cybersicherheitsressourcen, die wir brauchen, um auf Vorfälle zu reagieren, und wir müssen uns zusammenschließen.“
Als PowerSchool-Sprecherin um einen Kommentar gebeten wurde, sagte Beth Keebler gegenüber Tech: „Unsere PowerSchool-Kunden sind Teil einer starken Sicherheitsgemeinschaft, die sich dem Informationsaustausch und der gegenseitigen Hilfe widmet. Wir sind dankbar für die Geduld unserer Kunden und bedanken uns herzlich bei denen, die eingesprungen sind, um ihren Kollegen durch den Informationsaustausch zu helfen. Das werden wir auch weiterhin tun.“
Zusätzliche Berichterstattung von Carly Page.