„Edtech“ milžinė „PowerSchool“ teigia, kad įsilaužėliai pasiekė mokinių ir mokytojų asmeninius duomenis
Švietimo technologijų milžinė „PowerSchool“ klientams pranešė, kad patyrė „kibernetinio saugumo incidentą“, kuris leido įsilaužėliams pažeisti mokinių ir mokytojų asmeninius duomenis K-12 mokyklų rajonuose visoje JAV.
Kalifornijoje įsikūrusi „PowerSchool“, kurią „Bain Capital“ įsigijo už 5,6 mlrd. USD 2024 m., yra didžiausia debesijos pagrindu veikiančios švietimo programinės įrangos tiekėja K-12 mokymui JAV, aptarnaujanti daugiau nei 75 % Šiaurės Amerikos studentų. bendrovės interneto svetainėje. „PowerSchool“ teigia, kad jos programinę įrangą naudoja daugiau nei 16 000 klientų, kad palaikytų daugiau nei 50 milijonų studentų Jungtinėse Valstijose.
Antradienį nukentėjusiems klientams išsiųstame laiške, paskelbtame vietos naujienų ataskaitoje, „PowerSchool“ nurodė, kad gruodžio 28 d. nustatė, kad įsilaužėliai sėkmingai pažeidė jos „PowerSource“ klientų aptarnavimo portalą, suteikdami tolesnę prieigą prie bendrovės mokyklų informacinės sistemos „PowerSchool SIS“, kurią naudoja mokyklos. tvarkyti mokinių įrašus, pažymius, lankomumą ir registraciją. Laiške sakoma, kad bendrovės tyrimas parodė, kad įsilaužėliai gavo prieigą „naudodamiesi pažeistais kredencialais“.
„PowerSchool“ nepasakė, kokių tipų duomenys buvo pasiekti per incidentą arba kiek asmenų paveikė pažeidimas, ir nei „PowerSchool“, nei „Bain Capital“ neatsakė į „TechCrunch“ klausimus.
Kibernetinės atakos pobūdis lieka nežinomas. „Bleeping Computer“ praneša, kad DUK, išsiųstame paveiktiems vartotojams, „PowerSchool“ teigė, kad nepatyrė išpirkos reikalaujančios programinės įrangos atakos, tačiau įmonė buvo priversta sumokėti finansinę sumą, kad įsilaužėliai nenutekėtų pavogtų duomenų. „PowerSchool“ leidiniui sakė, kad pažeidimo metu buvo atskleisti vardai ir adresai, tačiau informacija taip pat gali apimti socialinio draudimo numerius, medicininę informaciją, pažymius ir kitą asmenį identifikuojančią informaciją. „PowerSchool“ nepasakė, kiek įmonė sumokėjo.
2024 m. lapkritį „PowerSchool“ buvo iškelta kolektyvinė byla, kurioje teigiama, kad įmonė neteisėtai parduoda studentų duomenis be sutikimo, siekdama komercinės naudos. Remiantis ieškiniu, bendrovės studentų duomenų bazė sudaro apie „345 terabaitus duomenų, surinktų iš 440 mokyklų rajonų“.
„PowerSchool renka šią labai jautrią informaciją prisidengdama švietimo parama, bet iš tikrųjų renka ją siekdama komercinės naudos“, o slepiasi už „nepermatomų paslaugų teikimo sąlygų, kurių niekas negali suprasti“, – teigiama ieškinyje.
