Мы всего несколько месяцев в 2025 году, но недавний взломать нас Edtech Giant Powerschool считается одним из крупнейших нарушений данных в последние годы.
Powerschool, которая предоставляет программное обеспечение K-12 для более чем 18 000 школ для поддержки около 60 миллионов учащихся по всей Северной Америке, впервые раскрыл нарушение данных в начале января 2025 года.
Калифорнийская компания, которую Bain Capital приобрела за 5,6 млрд долларов, сказала, что неизвестный хакер использовал единый скомпрометированный учетные данные для нарушения своего портала поддержки клиентов в декабре 2024 года, что позволило дальнейшему доступу к школьной информационной системе компании PowerSchool SIS, который школы используют для управления записями учащихся, оценки, посещаемости и зачисления.
В то время как Powerschool был открыт в отношении некоторых аспектов нарушения-например, Powerschool заявил TechCrunch, что нарушенный портал PowerSource не поддерживает многофакторную аутентификацию во время инцидента-несколько важных вопросов остаются без ответа на месяцы.
TechCrunch отправил PowerSchool список выдающихся вопросов об инциденте, что потенциально затрагивает миллионы студентов.
Представитель Powerschool Бет Киблер отказался отвечать на наши вопросы, заявив, что все обновления, связанные с нарушением, будут размещены на странице инцидентов компании. 29 января компания заявила, что начала уведомлять лиц, пострадавших от нарушения и государственных регуляторов.
У многих клиентов компании также есть выдающиеся вопросы о нарушении, заставляя тех, кто пострадал, работать вместе для расследования взлома.
В начале марта Powerschool опубликовал свои данные о нарушении данных посмертно, как это было подготовлено Crowdstrike, через два месяца после того, как клиентам PowerSchool сообщили, что он будет выпущен. В то время как многие детали в отчете были известны, Crowdstrike подтвердил, что у хакера есть доступ к системам Powerschool уже в августе 2024 года.
Вот некоторые из вопросов, которые остаются без ответа.
Powerschool не сказал, сколько затронуто студентов или сотрудников
TechCrunch услышал от клиентов PowerSchool, что масштаб нарушения данных может быть «массивным». Но Powerschool неоднократно отказывался сообщить, сколько школ и отдельных лиц затронуто, несмотря на то, что TechCrunch сообщил, что он «определил школы и районы, данные которых были вовлечены в этот инцидент».
Компьютер Bleeping, сославшись на несколько источников, сообщил в январе, что хакер, ответственный за нарушение Powerschool, получила личные данные более 62 миллионов учеников и 9,5 миллионов учителей.
Когда TechCrunch спросил, Powerschool отказался подтвердить, является ли это число точным.
Однако заявки Powerschool с государственными адвокатами и сообщениями от нарушенных школ, однако, предполагают, что миллионы людей, вероятно, имели личную информацию, украденную в результате нарушения данных.
В подаче заявки на генеральный прокурор Техаса Powerschool подтвердил, что почти 800 000 жителей штата были украдены. Январская подача в генеральный прокурор штата Мэн заявила, что по меньшей мере 33 000 жителей пострадали, но с тех пор это было обновлено, чтобы сказать, что число влияющих людей «должно быть определено».
Школьный совет округа Торонто, крупнейший в Канаде школьный совет, который обслуживает около 240 000 студентов в год, сказал, что хакер, возможно, получил доступ к 40 -летним данным студентов, при этом данные о почти 1,5 миллионах учащихся были взяты в результате нарушения.
Калифорнийский школьный округ Menlo Park City также подтвердил, что хакер доступ к всем нынешним студентам и сотрудникам, который соответственно насчитывает около 2700 учеников и 400 сотрудников, а также студентов и сотрудников, начиная с начала 2009-10 учебного года.
PowerSchool не сказал, какие типы данных были украдены
Мы не только не знаем, сколько людей пострадало, но мы также не знаем, сколько или какие виды данных были доступны во время нарушения.
В январе, в котором сообщалось, в январе, увиденное TechCrunch, Powerschool сказал, что хакер украл «конфиденциальную личную информацию» для студентов и учителей, включая оценки студентов, посещаемость и демографию. На странице инцидентов компании также говорится, что украденные данные могли включать номера социального страхования и медицинские данные, но говорится, что «из -за различий в требованиях клиентов информация, эксфильтрированная для любого данного индивидуума, варьировалась по всей нашей клиентской базе».
TechCrunch слышал из нескольких школ, затронутых инцидентом, что «все» их исторические данные учеников и учителей были скомпрометированы.
Один человек, который работает в пострадавшем школьном округе, сказал TechCrunch, что украденные данные включают очень конфиденциальные данные учащихся, такие как информация о правах доступа родителей для своих детей, сдерживание заказов и информацию о том, когда некоторые учащиеся должны принимать лекарства.
Источник, выступающий с TechCrunch в феврале, показал, что PowerSchool предоставил затронутые школы инструмент «SIS Self Service», который может запросить и суммировать данные клиентов PowerSchool, чтобы показать, какие данные хранятся в их системах. Powerschool сообщил пострадавшим школам, однако, что инструмент «может точно не отражать данные, которые были эксфильтрированы во время инцидента».
Неизвестно, есть ли PowerSchool есть свои собственные технические средства, такие как журналы, чтобы определить, какие типы данных были украдены из конкретных школьных округов.
Powerschool не скажет, сколько он заплатил хакеру, ответственному за нарушение
Powerschool сказал TechCrunch, что организация предприняла «соответствующие шаги», чтобы предотвратить опубликованные данные. В связи с клиентами, компания, поделившаяся с клиентами, подтвердила, что она работала с компанией реагирования на инциденты с инцидентами в кибер-анде для ведения переговоров с актерами угроз, ответственным за нарушение.
Это почти подтверждает, что Powerschool заплатил выкуп злоумышленникам, которые нарушили его системы. Однако, когда его спросили TechCrunch, компания отказалась сказать, сколько она заплатит, или сколько потребовал хакер.
Мы не знаем, какие доказательства получили PowerSchool, что украденные данные были удалены
Киблер Powerschool сказал TechCrunch, что компания «не ожидает, что данные обмениваются или обнародованы», и что она «считает, что данные были удалены без дальнейшей репликации или распространения».
Тем не менее, компания неоднократно отказывалась сообщить, какие доказательства она получила, чтобы предположить, что украденные данные были удалены. В ранних сообщениях говорится, что компания получила видео -доказательство, но Powerschool не подтвердит или не опровергнет, когда его спросили TechCrunch.
Даже тогда доказательство удаления ни в коем случае не является гарантией того, что хакер все еще не владеет данными; Недавняя британская сбоя в банде вымогателей Lockbit выявила доказательства того, что банда по -прежнему имела данные, принадлежащие жертвам, которые заплатили спрос на выкуп.
Хакер, стоящий за нарушением данных
Одним из самых больших неизвестных о кибератаке Powerschool является то, кто несет ответственность. Компания была в общении с хакером, но отказалась раскрывать свою личность, если известна. Cyberseward, канадская организация реагирования на инциденты, с которой Powerschool работала для ведения переговоров, не отвечала на вопросы TechCrunch.
Крипентизический отчет Crowdstrike оставляет вопросы без ответа
После выхода Powerschool в его криминалистике Crowdstrike в марте один человек в школе, пострадавший от нарушения, сказал TechCrunch, что результаты были «ошеломляющими».
В отчете подтверждено, что нарушение было вызвано скомпрометированными полномочиями, но основная причина того, как скомпрометированные полномочия были приобретены и использованы, остается неизвестным.
Марк Расин, исполнительный директор бостонской консалтинговой фирмы образовательной технологии Rooted Solutions, сказал TechCrunch, что, хотя отчет содержит «некоторые детали», не хватает информации, чтобы «понять, что пошло не так».
Неизвестно, как далеко на самом деле идет нарушение Powerschool
Одна новая деталь в отчете Crowdstrike заключается в том, что хакер имел доступ к сети Powerschool в период с 16 августа 2024 года и 17 сентября 2024 года.
Доступ был получен с использованием тех же скомпрометированных учетных данных, которые использовались в декабрьском нарушении, и хакер доступ к Powerchool PowerSource, тот же портал поддержки клиентов, снятый в декабре, чтобы получить доступ к школьной информационной системе PowerSchool.
Crowdstrike сказал, однако, что не хватает доказательств, чтобы сделать вывод, что это тот же актер угрозы, ответственный за нарушение в декабре из -за недостаточных журналов.
Но результаты показывают, что хакер — или несколько хакеров — возможно, имел доступ к сети Powerschool в течение нескольких месяцев до того, как был обнаружен доступ.
У вас есть больше информации о нарушении данных Powerschool? Мы хотели бы услышать от вас. Из неработающего устройства вы можете надежно связаться с Carly Page по адресу +44 1536 853968 или по электронной почте по адресу carly.page@techcrunch.com.
