.
Estamos apenas alguns meses em 2025, mas o recente hackear da Gigante da EDTECH PowerSchool está a caminho de ser uma das maiores violações de dados educacionais nos últimos anos.
O PowerSchool, que fornece software K-12 a mais de 18.000 escolas para apoiar cerca de 60 milhões de estudantes na América do Norte, divulgou pela primeira vez a violação de dados no início de janeiro de 2025.
A empresa da Califórnia, que a Bain Capital adquiriu por US $ 5,6 bilhões, disse que um hacker desconhecido usou uma única credencial comprometida para violar seu portal de suporte ao cliente em dezembro de 2024, permitindo acesso adicional ao sistema de informações escolares da empresa, Powerschool SIS, que as escolas usam para gerenciar registros de estudantes, notas, participação e matrículas.
Embora o PowerSchool tenha sido aberto sobre alguns aspectos da violação – por exemplo, o PowerSchool disse ao Strong The One que o portal do PowerSource quebrado fez não Apoie a autenticação de vários fatores no momento do incidente-várias questões importantes permanecem sem resposta meses depois.
O Strong The One enviou a PowerSchool uma lista de perguntas pendentes sobre o incidente, que potencialmente afeta milhões de estudantes.
O porta -voz da PowerSchool, Beth Keebler Página de incidentes da empresa. Em 29 de janeiro, a empresa disse que começou a notificar os indivíduos afetados pela violação e aos reguladores estaduais.
Muitos dos clientes da empresa também têm perguntas excelentes sobre a violação, forçando os afetados a trabalhar juntos para investigar o hack.
No início de março, a PowerSchool publicou sua violação de dados post-mortem, como preparado por crowdstrikedois meses após o que os clientes da PowerSchool foram informados de que seria lançado. Embora muitos dos detalhes do relatório fossem conhecidos, Crowdstrike confirmou que um hacker tinha acesso aos sistemas da PowerSchool já em agosto de 2024.
Aqui estão algumas das perguntas que permanecem sem resposta.
PowerSchool não disse quantos estudantes ou funcionários são afetados
O Strong The One ouviu os clientes da PowerSchool que a escala da violação de dados pode ser “enorme”. Mas o PowerSchool se recusou repetidamente a dizer quantas escolas e indivíduos são afetados, apesar de dizer ao Strong The One que “identificou as escolas e distritos cujos dados estavam envolvidos nesse incidente”.
Computador de bipingcitando várias fontes, informou em janeiro que o hacker responsável pela violação do PowerSchool acessou os dados pessoais de mais de 62 milhões de estudantes e 9,5 milhões de professores.
Quando perguntado pela Strong The One, o PowerSchool se recusou a confirmar se esse número era preciso.
Os registros da PowerSchool com os procuradores -gerais estaduais e as comunicações de escolas violadas, no entanto, sugerem que milhões de pessoas provavelmente tiveram informações pessoais roubadas na violação de dados.
Em um registro no procurador -geral do Texas, o PowerSchool confirmou que quase 800.000 residentes estaduais tiveram dados roubados. Um registro de janeiro com o procurador -geral do Maine disse que pelo menos 33.000 residentes foram afetados, mas isso foi atualizado Dizer que o número de indivíduos impactados deve “ser determinado”.
O Conselho Escolar do Distrito de Toronto, o maior conselho escolar do Canadá que atende a aproximadamente 240.000 alunos a cada ano, disse que o hacker pode ter acessado cerca de 40 anos de dados dos alunos, com os dados de quase 1,5 milhão de estudantes recebidos na violação.
Distrito escolar de Menlo Park City da Califórnia também confirmado O hacker acessou informações sobre todos os alunos e funcionários atuais-que respectivamente numeram cerca de 2.700 estudantes e 400 funcionários-além de estudantes e funcionários que remontam ao início do ano letivo de 2009-10.
PowerSchool não disse que tipos de dados foram roubados
Não apenas não sabemos quantas pessoas foram afetadas, mas também não sabemos quanto ou que tipos de dados foram acessados durante a violação.
Em uma comunicação compartilhada com os clientes em janeiro, vista pela Strong The One, o PowerSchool disse que o hacker roubou “informações pessoais sensíveis” sobre estudantes e professores, incluindo notas, participação e demografia dos alunos. A página de incidentes da empresa também afirma que dados roubados podem ter incluído números de previdência social e dados médicos, mas diz que “devido a diferenças nos requisitos do cliente, as informações exfiltradas para qualquer indivíduo variaram em nossa base de clientes”.
O Strong The One ouviu falar de várias escolas afetadas pelo incidente de que “todos” de seus dados históricos de estudantes e professores foram comprometidos.
Uma pessoa que trabalha em um distrito escolar afetado disse ao Strong The One que os dados roubados incluem dados de estudantes altamente sensíveis, como informações sobre os direitos de acesso dos pais a seus filhos, pedidos de restrição e informações sobre quando certos alunos precisam tomar seus medicamentos.
Uma fonte que fala com o Strong The One em fevereiro revelou que o PowerSchool forneceu às escolas afetadas uma ferramenta de “auto -serviço da SIS” que pode consultar e resumir os dados do cliente da PowerSchool para mostrar quais dados são armazenados em seus sistemas. A PowerSchool disse às escolas afetadas, no entanto, que a ferramenta “pode não refletir com precisão dados que foram exfiltrados no momento do incidente”.
Não se sabe se o PowerSchool tem seus próprios meios técnicos, como toras, para determinar quais tipos de dados foram roubados de distritos escolares específicos.
PowerSchool não diz o quanto pagou ao hacker responsável pela violação
A PowerSchool disse ao Strong The One que a organização havia tomado “medidas apropriadas” para impedir que os dados roubados sejam publicados. Na comunicação compartilhada com os clientes, a empresa confirmou que trabalhou com uma empresa de resposta a incidentes de extorsão cibernética para negociar com os atores de ameaças responsáveis pela violação.
Isso quase confirma que a PowerSchool pagou um resgate aos atacantes que violaram seus sistemas. No entanto, quando perguntado pela Strong The One, a empresa se recusou a dizer quanto pagou ou quanto o hacker exigiu.
Não sabemos que evidência o PowerSchool recebeu de que os dados roubados foram excluídos
Keebler, da PowerSchool, disse ao Strong The One que a empresa “não antecipa os dados que estão sendo compartilhados ou tornados públicos” e que “acredita que os dados foram excluídos sem mais replicação ou disseminação”.
No entanto, a empresa se recusou repetidamente a dizer que evidência recebeu para sugerir que os dados roubados foram excluídos. Cedo Relatórios disse que a empresa recebeu prova de vídeo, mas o PowerSchool não confirmou ou negaria quando solicitado pelo Strong The One.
Mesmo assim, a prova de exclusão não é de forma alguma uma garantia de que o hacker ainda não está na posse dos dados; A recente remoção do Reino Unido da gangue de Ransomware do Lockbit desenterrou evidências de que a gangue ainda tinha dados pertencentes a vítimas que haviam pago uma demanda de resgate.
O hacker por trás da violação de dados ainda não é conhecido
Uma das maiores incógnitas sobre o PowerSchool Cyberattack é quem foi responsável. A empresa está em comunicação com o hacker, mas se recusou a revelar sua identidade, se conhecida. A Cybersteward, a organização de resposta a incidentes canadenses com a qual a PowerSchool trabalhou para negociar, não respondeu às perguntas da Strong The One.
O relatório forense de Crowdstrike deixa perguntas sem resposta
Após o lançamento do PowerSchool de seu Relatório Forense Crowdstrike Em março, uma pessoa em uma escola afetada pela violação disse ao Strong The One que as descobertas eram “desapontadoras”.
O relatório confirmou que a violação foi causada por uma credencial comprometida, mas a causa raiz de como a credencial comprometida foi adquirida e usada permanece desconhecida.
Marc Racine, diretor executivo da empresa de consultoria de tecnologia educacional de Boston, Roototous Solutions, disse ao Strong The One que, embora o relatório forneça “alguns detalhes”, não há informações suficientes para “entender o que deu errado”.
Não se sabe exatamente até que ponto a violação do PowerSchool realmente vai
Um novo detalhe do relatório Crowdstrike é que um hacker teve acesso à rede da PowerSchool entre 16 de agosto de 2024 e 17 de setembro de 2024.
O acesso foi obtido usando as mesmas credenciais comprometidas usadas na violação de dezembro, e o hacker acessou o PowerSchool da PowerSchool, o mesmo portal de suporte ao cliente comprometido em dezembro para obter acesso ao sistema de informações escolares da PowerSchool.
Crowdstrike disse, no entanto, que não há evidências suficientes para concluir que esse é o mesmo ator de ameaça responsável pela violação de dezembro devido a toras insuficientes.
Mas as descobertas sugerem que o hacker – ou vários hackers – pode ter tido acesso à rede da PowerSchool por meses antes do acesso ser detectado.
Você tem mais informações sobre a violação de dados do PowerSchool? Gostaríamos muito de ouvir de você. A partir de um dispositivo não trabalhador, você pode entrar em contato com a Carly Page com segurança no sinal em +44 1536 853968 ou por e-mail carly.page@strong.avance10.com.
.
