Der Edtech-Riese PowerSchool warnte Kunden, dass Hacker während eines kürzlichen Datenverstoßes auf die hochsensiblen Daten seiner Kunden zugegriffen hätten – darunter Sozialversicherungsnummern, Noten und medizinische Informationen von Studenten, wie TechCrunch erfahren hat.
In einer FAQ von TechCrunch, die diese Woche an betroffene Kunden gesendet wurde, behauptet PowerSchool, dass während des Sicherheitsverstoßes im Dezember auf „sensible persönliche Daten“ zugegriffen wurde. was von PowerSchool am Mittwoch bestätigt wurde.
Wie das Unternehmen zuvor mitteilte, drangen Hacker mit gestohlenen Zugangsdaten in das interne Kundensupport-Portal von PowerSchool ein. Der Verstoß betrifft Benutzer des PowerSchool-Schulinformationssystems, mit dem Schulen Schülerakten, Noten, Anwesenheit und Einschreibung verwalten.
PowerSchool sagte in seinen FAQ, dass die gestohlenen Daten zwar in erster Linie Kontaktdaten wie Namen und Adressen von Einzelpersonen enthielten, die Hacker jedoch auch auf Sozialversicherungsnummern, einige medizinische und Noteninformationen sowie andere nicht näher bezeichnete persönlich identifizierbare Informationen von Schülern und Studenten zugreifen konnten Lehrer.
Das in Kalifornien ansässige Bildungstechnologieunternehmen, der größte Anbieter cloudbasierter Lernsoftware für den K-12-Unterricht in den USA, gibt an, dass auch die persönlichen Daten von Eltern und Erziehungsberechtigten, einschließlich Namen, Telefonnummern und E-Mail-Adressen, möglicherweise kompromittiert wurden . in einigen Schulbezirken. Das Unternehmen sagte, die Art der gestohlenen Daten schwanke je nach Kunde.
Die Sprecherin von PowerSchool, Beth Keebler, bestätigte am Donnerstag die Legitimität der Informationen in den FAQ, wollte jedoch nicht sagen, wie viele Personen von dem Verstoß betroffen waren. PowerSchool gibt an, dass seine Software von mehr als 16.000 Kunden genutzt wird, um mehr als 50 Millionen Schüler in Nordamerika zu unterstützen.
In den FAQ bestätigte PowerSchool, dass es sich bei dem Sicherheitsvorfall nicht um Ransomware handelte, stellte jedoch fest, dass das Unternehmen mit CyberSteward zusammengearbeitet habe, einer kanadischen Organisation, die Reaktionsdienste für Cyber-Erpressungsvorfälle anbietet, um mit den für den Verstoß verantwortlichen Bedrohungsakteuren zu verhandeln.
Das bestätigt frühere Berichte dass PowerSchool lediglich Ziel eines Erpressungsangriffs war und eine finanzielle Summe gezahlt hat, um Hacker an der Veröffentlichung der gestohlenen Daten zu hindern.
Auf Nachfrage von TechCrunch am Donnerstag lehnte PowerSchool es ab, zu sagen, welche Beweise dafür vorliegen, dass die gestohlenen Daten gelöscht wurden. CyberSteward antwortete nicht auf die Fragen von TechCrunch.
„PowerSchool hat alle geeigneten Maßnahmen ergriffen, um zu verhindern, dass die betreffenden Daten unbefugt verwendet werden, und geht nicht davon aus, dass die Daten weitergegeben oder veröffentlicht werden“, sagte Keebler. „PowerSchool geht davon aus, dass die Daten ohne weitere Replikation oder Verbreitung gelöscht wurden.“
PowerSchool wurde 2024 von Bain Capital im Rahmen eines 5,6-Milliarden-Dollar-Deals übernommen. Als sie diese Woche von TechCrunch kontaktiert wurde, äußerte sich Bain Capital-Sprecherin Rachel Colson nicht dazu.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Auf einem arbeitsfreien Gerät können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter kontaktieren carly.page@techcrunch.com.
