Είναι μόνο το Φεβρουάριο, αλλά το πρόσφατο hack μας Edtech Giant Powerschool έχει τη δυνατότητα να είναι μία από τις μεγαλύτερες παραβιάσεις της χρονιάς.
Το Powerschool, το οποίο παρέχει λογισμικό K-12 σε περισσότερα από 18.000 σχολεία για να υποστηρίξει περίπου 60 εκατομμύρια φοιτητές σε ολόκληρη τη Βόρεια Αμερική, επιβεβαίωσε την παραβίαση στις αρχές Ιανουαρίου. Η εταιρεία που εδρεύει στην Καλιφόρνια, την οποία η Bain Capital απέκτησε για 5,6 δισεκατομμύρια δολάρια το 2024, δήλωσε ότι οι χάκερς χρησιμοποίησαν συμβιβασμένα διαπιστευτήρια για να παραβιάσουν την πύλη υποστήριξης πελατών, επιτρέποντας περαιτέρω πρόσβαση στο σχολικό σύστημα πληροφόρησης της εταιρείας, PowerSchool Sis , συμμετοχή και εγγραφή.
“Στις 28 Δεκεμβρίου 2024, γνωρίσαμε ένα πιθανό περιστατικό στον κυβερνοχώρο που περιλαμβάνει μη εξουσιοδοτημένη πρόσβαση σε ορισμένες πληροφορίες Powerschool SIS μέσω μιας από τις πύλες πελατών που επικεντρώνονται στην κοινότητα, PowerSource”, δήλωσε ο εκπρόσωπος της Powerschool Beth Keebler στο TechCrunch.
Το Powerschool έχει ανοιχτεί για ορισμένες πτυχές της παραβίασης. Ο Keebler δήλωσε στο TechCrunch ότι η πύλη PowerSource, για παράδειγμα, το έκανε δεν Υποστηρίξτε τον έλεγχο ταυτότητας πολλαπλών παραγόντων κατά τη στιγμή του συμβάντος, ενώ το PowersChool έκανε. Αλλά μια σειρά σημαντικών ερωτήσεων παραμένουν αναπάντητα.
Η TechCrunch έστειλε στο PowerSchool έναν κατάλογο εξαιρετικών ερωτήσεων σχετικά με το περιστατικό, το οποίο έχει τη δυνατότητα να επηρεάσει εκατομμύρια φοιτητές στο US Keebler αρνήθηκε να απαντήσει στις ερωτήσεις μας, λέγοντας ότι όλες οι ενημερώσεις που σχετίζονται με την παραβίαση θα δημοσιεύονται στη σελίδα συμβάντος της εταιρείας. Στις 29 Ιανουαρίου, η εταιρεία δήλωσε ότι άρχισε να ειδοποιεί τα άτομα που πλήττονται από την παραβίαση και τις κρατικές ρυθμιστικές αρχές.
Η Powerschool δήλωσε στους πελάτες ότι θα μοιραστεί μέχρι τα μέσα Ιανουαρίου μια αναφορά περιστατικού από την εταιρεία Cybersecurity Crowdstrike, την οποία η εταιρεία προσέλαβε για να διερευνήσει την παραβίαση. Αλλά αρκετές πηγές που εργάζονται σε σχολεία που επηρεάστηκαν από την παραβίαση δήλωσε στο TechCrunch ότι δεν έχουν ακόμη λάβει.
Οι πελάτες της εταιρείας έχουν επίσης πολλές αναπάντητες ερωτήσεις, αναγκάζοντας όσους επηρεάζονται από την παραβίαση να συνεργαστούν για να διερευνήσουν το hack.
Εδώ είναι μερικές από τις ερωτήσεις που παραμένουν αναπάντητες.
Δεν είναι γνωστό πόσα σχολεία ή μαθητές επηρεάζονται
Η TechCrunch έχει ακούσει από τα σχολεία που έχουν πληγεί από την παραβίαση του Powerschool ότι η κλίμακα της θα μπορούσε να είναι “μαζική”. Ωστόσο, η Powerschool έχει επανειλημμένα αρνηθεί να πει πόσα σχολεία και άτομα επηρεάζονται παρά το γεγονός ότι η TechCrunch είχε «εντοπίσει τα σχολεία και τις περιοχές των οποίων τα δεδομένα συμμετείχαν σε αυτό το περιστατικό».
Ο υπολογιστής Bleping, αναφέροντας πολλαπλές πηγές, αναφέρει ότι ο χάκερ υπεύθυνος για την παραβίαση του Powerschool φέρεται να έχει πρόσβαση στα προσωπικά δεδομένα περισσότερων από 62 εκατομμυρίων φοιτητών και 9,5 εκατομμυρίων καθηγητών. Το PowerSchool έχει επανειλημμένα αρνηθεί να επιβεβαιώσει εάν ο αριθμός αυτός ήταν ακριβής.
Ενώ η PowersChool δεν θα δώσει έναν αριθμό, οι πρόσφατες καταθέσεις της εταιρείας με τους γενικούς δικηγόρους του κράτους υποδηλώνουν ότι εκατομμύρια είχαν προσωπικές πληροφορίες που κλέβονται στην παραβίαση. Σε μια κατάθεση με τον Γενικό Εισαγγελέα του Τέξας, για παράδειγμα, η Powerschool επιβεβαιώνει ότι σχεδόν 800.000 κάτοικοι του κράτους είχαν κλεμίσει δεδομένα.
Οι επικοινωνίες από παραβιαζόμενες σχολικές περιοχές δίνουν μια γενική ιδέα για το μέγεθος της παραβίασης. Το Διοικητικό Συμβούλιο του Περιφερειακού Σχολείου του Τορόντο (TDSB), το μεγαλύτερο σχολικό συμβούλιο του Καναδά, το οποίο εξυπηρετεί περίπου 240.000 φοιτητές κάθε χρόνο, δήλωσε ότι ο χάκερ μπορεί να έχει πρόσβαση σε περίπου 40 χρόνια αξίας δεδομένων σπουδαστών, με τα στοιχεία περίπου 1,5 εκατομμυρίων φοιτητών που λαμβάνονται στην παραβίαση. Ομοίως, η σχολική συνοικία Menlo Park City της Καλιφόρνιας επιβεβαίωσε ότι ο χάκερ είχε πρόσβαση σε πληροφορίες για όλους τους τρέχοντες φοιτητές και προσωπικό-οι οποίες αντίστοιχα αριθμούν περίπου 2.700 φοιτητές και 400 υπαλλήλους-καθώς και φοιτητές και προσωπικό που χρονολογούνται από την αρχή του σχολικού έτους 2009-10.
Δεν γνωρίζουμε ακόμα ποιοι τύποι δεδομένων έχουν κλαπεί
Όχι μόνο δεν γνωρίζουμε πόσοι άνθρωποι επηρεάστηκαν, αλλά επίσης δεν γνωρίζουμε πόσο ή ποιοι τύποι δεδομένων είχαν πρόσβαση κατά τη διάρκεια της παραβίασης.
Σε μια επικοινωνία που μοιράστηκε με τους πελάτες της νωρίτερα τον Ιανουάριο, που είδε η TechCrunch, η εταιρεία επιβεβαίωσε ότι ο χάκερ έκλεψε “ευαίσθητα προσωπικά στοιχεία” για τους μαθητές και τους δασκάλους, συμπεριλαμβανομένων των βαθμών, της συμμετοχής των μαθητών και των δημογραφικών στοιχείων. Η σελίδα περιστατικών της εταιρείας αναφέρει επίσης ότι τα κλεμμένα δεδομένα ενδέχεται να έχουν συμπεριλάβει αριθμούς κοινωνικής ασφάλισης και ιατρικά δεδομένα, αλλά λένε ότι “λόγω των διαφορών στις απαιτήσεις των πελατών, οι πληροφορίες εξοργισμένες για κάθε συγκεκριμένο άτομο ποικίλλουν σε όλη την πελατειακή μας βάση”.
Το TechCrunch έχει επίσης ακούσει από πολλά σχολεία που επηρεάζονται από το περιστατικό ότι “όλα” των ιστορικών δεδομένων σπουδαστών και εκπαιδευτικών τους διακυβεύονταν.
Ένα άτομο που εργάζεται σε μια πληγείσα σχολική περιοχή δήλωσε στο TechCrunch ότι τα κλεμμένα δεδομένα περιλαμβάνουν εξαιρετικά ευαίσθητα δεδομένα σπουδαστών, συμπεριλαμβανομένων πληροφοριών σχετικά με τα δικαιώματα γονικής πρόσβασης στα παιδιά τους, συμπεριλαμβανομένων των παραγγελιών περιορισμού και των πληροφοριών σχετικά με το πότε ορισμένοι φοιτητές πρέπει να πάρουν τα φάρμακά τους.
Μια πηγή που μιλάει με την TechCrunch τον Φεβρουάριο αποκάλυψε ότι το PowersChool έχει παράσχει σε πληγείσα σχολεία ένα εργαλείο “SIS Self Service” που μπορεί να διερευνήσει και να συνοψίσει τα δεδομένα των πελατών PowersChool για να δείξουν ποια δεδομένα αποθηκεύονται στα συστήματά τους. Ωστόσο, ο Powerschool δήλωσε ότι το εργαλείο “μπορεί να μην αντικατοπτρίζει με ακρίβεια τα δεδομένα που απολύθηκαν κατά τη στιγμή του συμβάντος”.
Δεν είναι γνωστό αν το Powerschool έχει τα δικά της τεχνικά μέσα, όπως τα αρχεία καταγραφής, για να προσδιορίσει ποιοι τύποι δεδομένων έχουν κλαπεί από συγκεκριμένες σχολικές περιοχές.
Το Powerschool δεν έχει πει πόσο πλήρωσε τον χάκερ υπεύθυνο για την παραβίαση
Ο Powerschool δήλωσε στο TechCrunch ότι ο οργανισμός είχε λάβει “κατάλληλα βήματα” για να αποτρέψει τη δημοσίευση των κλεμμένων δεδομένων. Στην επικοινωνία που μοιράστηκε με τους πελάτες, η εταιρεία επιβεβαίωσε ότι συνεργάστηκε με μια εταιρεία αντίδρασης περιστατικών από τον κυβερνοχώρο για να διαπραγματευτεί με τους υπεύθυνες απειλής που είναι υπεύθυνοι για την παραβίαση.
Όλα αυτά, αλλά επιβεβαιώνουν ότι το Powerschool κατέβαλε λύτρα στους επιτιθέμενους που παραβίασαν τα συστήματά του. Ωστόσο, όταν ρωτήθηκε από την TechCrunch, η εταιρεία αρνήθηκε να πει πόσο πλήρωσε ή πόσο απαιτούσε ο χάκερ.
Δεν γνωρίζουμε ποια στοιχεία έχουν λάβει το PowersChool ότι έχουν διαγραφεί τα κλεμμένα δεδομένα
Ο Keebler της Powerschool δήλωσε στο TechCrunch ότι η εταιρεία “δεν προβλέπει τα δεδομένα που μοιράζονται ή δημοσιοποιούνται” και ότι “πιστεύει ότι τα δεδομένα έχουν διαγραφεί χωρίς περαιτέρω αναπαραγωγή ή διάδοση”.
Ωστόσο, η εταιρεία έχει επανειλημμένα αρνηθεί να πει ποια στοιχεία έχει λάβει για να υποδείξει ότι τα κλεμμένα δεδομένα είχαν διαγραφεί. Οι πρώτες αναφορές ανέφεραν ότι η εταιρεία έλαβε βίντεο απόδειξη, αλλά η PowersChool δεν θα επιβεβαιώσει ή θα αρνηθεί όταν ρωτήθηκε από την TechCrunch.
Ακόμη και τότε, η απόδειξη της διαγραφής δεν είναι σε καμία περίπτωση εγγύηση ότι ο χάκερ δεν έχει εξακολουθεί να κατέχει τα δεδομένα. Η πρόσφατη κατάπαυση του Ηνωμένου Βασιλείου της συμμορίας Ransomware του Ηνωμένου Βασιλείου ανακάλυψε ότι η συμμορία είχε ακόμα δεδομένα που ανήκουν σε θύματα που είχαν καταβάλει ζήτηση λύτρα.
Δεν γνωρίζουμε ακόμα ποιος ήταν πίσω από την επίθεση
Ένα από τα μεγαλύτερα άγνωστα για το Powerschool Cyberattack είναι ο οποίος ήταν υπεύθυνος. Η εταιρεία έχει επικοινωνήσει με τον χάκερ, αλλά αρνήθηκε να αποκαλύψει την ταυτότητά τους, εάν είναι γνωστή. Ο Cybersteward, ο Καναδικός Οργανισμός Αντίδρασης Συμβάντων που συνεργάστηκε ο Powerschool για να διαπραγματευτεί, δεν απάντησε στις ερωτήσεις του TechCrunch.
Τα αποτελέσματα της έρευνας του crowdstrike παραμένουν μυστήριο
Το Powerschool συνεργάζεται με την εταιρεία Crowdstrike για να διερευνήσει την παραβίαση. Οι πελάτες της PowersChool ενημερώθηκαν ότι τα ευρήματα της εταιρείας ασφαλείας θα κυκλοφορήσουν στις 17 Ιανουαρίου. Ωστόσο, η έκθεση δεν έχει ακόμη δημοσιευθεί και οι πληγείσες σχολικές περιοχές έχουν πει στην TechCrunch ότι δεν έχουν ακόμη δει την έκθεση. Το Crowdstrike αρνήθηκε να σχολιάσει όταν του ζητήθηκε από την TechCrunch.
Το Crowdstrike δημοσίευσε μια ενδιάμεση έκθεση τον Ιανουάριο, την οποία έχει δει η TechCrunch, αλλά δεν περιείχε νέες λεπτομέρειες για την παραβίαση.
Έχετε περισσότερες πληροφορίες σχετικά με την παραβίαση των δεδομένων PowerSchool; Θα θέλαμε να σας ακούσουμε. Από μια συσκευή μη εργασίας, μπορείτε να επικοινωνήσετε με την Carly Page με ασφάλεια στο σήμα στο +44 1536 853968 ή μέσω ηλεκτρονικού ταχυδρομείου στο carly.page@techcrunch.com.
