Atak cybernetyczny na PowerSchool narusza prywatność milionów rejestrów uczniów w szkołach na terenie całych Stanów Zjednoczonych.

Hakerzy naruszyli systemy PowerSchool, edukacyjnej firmy technologicznej obsługującej ponad 50 milionów uczniów w USA.

Atak, o którym po raz pierwszy poinformował w środę TechCrunch, naruszył prywatność historycznych danych uczniów i nauczycieli z wielu szkół. Doszło do niego w grudniu, wykorzystując skradzione dane do włamania się do portalu obsługi klienta firmy, co skutkowało ujawnieniem wrażliwych informacji.

Dotknięte naruszeniem bezpieczeństwa dystrykty szkolne ujawniły rozległy zakres wycieku. Jeden z dystryktów potwierdził, że „wszystkie historyczne dane uczniów i nauczycieli” zostały udostępnione, podczas gdy inny dystrykt z prawie 9 000 uczniami poinformował, że dane demograficzne obecnych i byłych pracowników oraz uczniów zostały naruszone, jak donosi TechCrunch.

Niektóre dystrykty zwróciły uwagę na niewystarczające środki bezpieczeństwa, takie jak brak wieloskładnikowego uwierzytelniania. PowerSchool nie ujawniło jeszcze liczby szkół dotkniętych naruszeniem, jak podaje TechCrunch.

Beth Keebler, rzeczniczka firmy, poinformowała, że zidentyfikowano szkoły i dystrykty dotknięte problemem, ale odmówiła podania ich nazw publicznie na łamach TechCrunch. Firma wciąż ustala, czyje dane mogły zostać wykorzystane i nie dostarczyła dowodów na swoje twierdzenie, że skradzione dane zostały usunięte.

TechCrunch informuje, że według FAQ PowerSchool udostępnionego klientom w zeszłym tygodniu, w wyniku naruszenia ochrony danych ujawniono imiona i nazwiska, adresy, numery ubezpieczenia społecznego, informacje medyczne, oceny i inne dane osobowe.

Jednakże, w oświadczeniu przekazanym TechCrunch w wtorek, PowerSchool zasugerowało, że większość dotkniętych klientów nie miała naruszonej wrażliwej informacji.

Co więcej, TechCrunch informuje, że Dystrykt Szkolny Menlo Park City w Kalifornii potwierdził, że dane sięgające roku szkolnego 2009-2010 zostały dostępne. Rancho Santa Fe School District, kolejny dystrykt w Kalifornii, ujawnił, że także dane do logowania nauczycieli zostały skompromitowane.

Mark Racine, CEO firmy konsultingowej w dziedzinie technologii edukacyjnej RootED Solutions, ostrzegł, że naruszenie dotyczy nie tylko 18 000 aktywnych klientów PowerSchool, ale także byłych klientów, jak zauważył TechCrunch.

Stwierdził, że liczba dotkniętych uczniów w niektórych dzielnicach jest do dziesięciu razy wyższa niż obecnie zapisanych uczniów, co odzwierciedla długoterminowe przechowywanie danych.

Krytyka praktyk bezpieczeństwa PowerSchool narasta, a niektóre dystrykty oskarżają firmę o zaniedbywanie podstawowych zabezpieczeń, jak donosi TechCrunch.

PowerSchool oświadczyło TechCrunch, że wprowadziło środki mające na celu zapobieganie kolejnym incydentom, ale nie rozwinęło swojej odpowiedzi ani skuteczności podjętych działań.

Rzecznik PowerSchool powiedział Newsweekowi: „Zidentyfikowaliśmy szkoły i dystrykty, których dane były zaangażowane w tym incydencie, poinformowaliśmy je bezpośrednio i będziemy dostarczać aktualizacje, wspierając je w kolejnych krokach.”

„PowerSchool jest w trakcie wdrażania planu, w ramach którego zaoferujemy powiadomienie osób, których dane osobowe były zaangażowane w imieniu naszych klientów. Będziemy również dostarczać usługi monitorowania kredytu lub ochrony tożsamości, jeśli będzie to konieczne,” dodał rzecznik.

W miarę jak trwają śledztwa, dotknięte dzielnice podejmują kroki, aby poinformować personel i uczniów o naruszeniu, jednocześnie oceniając długoterminowe implikacje dla swoich społeczności.