Es ist erst Januar, aber der jüngste Hack des US-amerikanischen Bildungstechnologieriesen PowerSchool hat das Potenzial, einer der größten Verstöße des Jahres zu werden.
PowerSchool, das mehr als 18.000 Schulen mit K-12-Software versorgt, um fast 60 Millionen Schüler in den Vereinigten Staaten zu unterstützen, bestätigte den Verstoß Anfang Januar. Das in Kalifornien ansässige Unternehmen das Bain Capital im Jahr 2024 für 5,6 Milliarden US-Dollar erwarbsagte damals, dass Hacker kompromittierte Zugangsdaten genutzt hätten, um in das Kundensupport-Portal einzudringen und so zusätzlichen Zugriff auf das Schulinformationssystem des Unternehmens, PowerSchool SIS, zu ermöglichen, das Schulen zur Verwaltung von Schülerakten, Noten, Anwesenheit und Einschreibung nutzen.
„Am 28. Dezember 2024 wurden wir auf einen potenziellen Cybersicherheitsvorfall aufmerksam, bei dem es um unbefugten Zugriff auf bestimmte PowerSchool-SIS-Informationen über eines unserer Community-orientierten Kundenportale, PowerSource, ging“, sagte die PowerSource-Sprecherin Beth Keebler gegenüber TechCrunch.
PowerSchool äußerte sich offen zu bestimmten Aspekten des Verstoßes. Keebler sagte gegenüber TechCrunch, dass dies beispielsweise beim PowerSource-Portal der Fall sei NEIN unterstützte MFA zum Zeitpunkt des Vorfalls, während PowerSchool dies tat. Doch eine Reihe wichtiger Fragen bleiben unbeantwortet.
Diese Woche schickte TechCrunch PowerSchool eine Liste offener Fragen zu dem Vorfall, der potenziell Millionen von Schülern in den USA betreffen könnte. Keebler lehnte es ab, auf unsere Fragen zu antworten und sagte, dass alle Aktualisierungen im Zusammenhang mit dem Verstoß auf der Website veröffentlicht würden. SIS-Vorfallseite des Unternehmensdie seit dem 17. Januar nicht mehr aktualisiert wurde.
PowerSchool teilte seinen Kunden am 17. Januar mit, dass es einen Vorfallbericht des Cybersicherheitsunternehmens CrowdStrike veröffentlichen werde, das das Unternehmen mit der Untersuchung des Verstoßes beauftragt hatte. Aber mehrere Quellen, die an Schulen arbeiten, die von dem Verstoß betroffen sind, teilten TechCrunch mit, dass sie die Meldung noch nicht erhalten haben.
Auch die Kunden des Unternehmens haben viele offene Fragen, Die von der Sicherheitsverletzung betroffenen Personen werden gezwungen, bei der Untersuchung des Hacks zusammenzuarbeiten.
Hier sind einige der Fragen, die noch unbeantwortet bleiben.
Es ist nicht bekannt, wie viele Schulen oder Schüler betroffen sein werden.
TechCrunch hörte von Schulen, die von der PowerSchool-Verletzung betroffen waren, dass die Auswirkungen „massiv“ sein könnten. Auf der Vorfallseite von PowerSchool wird jedoch das Ausmaß des Verstoßes nicht erwähnt, und das Unternehmen hat sich wiederholt geweigert, anzugeben, wie viele Schulen und Einzelpersonen betroffen waren.
In einer Erklärung, die letzte Woche an TechCrunch gesendet wurde, sagte Keebler, PowerSchool habe „die Schulen und Bezirke identifiziert, deren Daten in diesen Vorfall verwickelt waren“, würde aber die Namen der Beteiligten nicht veröffentlichen.
Mitteilungen betroffener Schulbezirke geben jedoch einen allgemeinen Überblick über das Ausmaß des Verstoßes. Das Toronto District School Board (TDSB), Kanadas größte Schulbehörde, betreut jedes Jahr etwa 240.000 Schüler. sagte diese Woche dass Hacker möglicherweise auf Daten von etwa 40-jährigen Schülern zugegriffen haben. Ebenso der Schulbezirk Menlo Park City in Kalifornien bestätigt dass Hacker auf Informationen über alle aktuellen Schüler und Mitarbeiter – also insgesamt etwa 2.700 Schüler und 400 Mitarbeiter – sowie über Schüler und Mitarbeiter seit Beginn des Schuljahres 2009/2010 zugegriffen haben.
Auch das Ausmaß des Datendiebstahls ist unbekannt. PowerSchool gab auch nicht an, auf wie viele Daten während des Cyberangriffs zugegriffen wurde, aber in einer Mitteilung an seine Kunden Anfang des Monats, die TechCrunch eingesehen hatte, bestätigte das Unternehmen, dass Hacker „sensible persönliche Informationen“ von Schülern und Lehrern, darunter auch einigen Schülern, gestohlen haben. ‚ Sozialversicherungsnummern, Noten, demografische Daten und medizinische Informationen. TechCrunch auch er hörte Bei mehreren von dem Vorfall betroffenen Schulen wurde festgestellt, dass auf „alle“ historischen Schüler- und Lehrerdaten zugegriffen wurde.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, teilte TechCrunch mit, dass es sich bei den gestohlenen Daten um hochsensible Schülerdaten handelte, darunter Informationen über die Zugriffsrechte der Eltern auf ihre Kinder, einschließlich einstweiliger Verfügungen und Informationen darüber, wann bestimmte Schüler ihre Medikamente einnehmen müssen.
PowerSchool machte keine Angaben dazu, wie viel es den für den Verstoß verantwortlichen Hackern gezahlt hat
PowerSchool teilte TechCrunch mit, dass die Organisation „geeignete Maßnahmen“ ergriffen habe, um die Veröffentlichung der gestohlenen Daten zu verhindern. In der mit Kunden geteilten Kommunikation bestätigte das Unternehmen, dass es mit einem Unternehmen zur Reaktion auf Cyber-Erpressungsvorfälle zusammengearbeitet habe, um mit den für den Verstoß verantwortlichen Bedrohungsakteuren zu verhandeln.
Dies bestätigt praktisch, dass PowerSchool ein Lösegeld an die Angreifer gezahlt hat, die in ihre Systeme eingedrungen sind. Auf Nachfrage von TechCrunch weigerte sich das Unternehmen jedoch zu sagen, wie viel es gezahlt habe und auch nicht, wie viel die Hacker verlangt hätten.
Wir wissen nicht, welche Beweise PowerSchool dafür erhalten hat, dass die gestohlenen Daten gelöscht wurden
In einer Erklärung, die TechCrunch Anfang dieses Monats mitgeteilt wurde, sagte Keebler von PowerSchool, dass die Organisation „nicht davon ausgeht, dass die Daten weitergegeben oder veröffentlicht werden“ und dass sie „glaubt, dass die Daten ohne weitere Vervielfältigung oder Verbreitung gelöscht wurden“.
Allerdings weigerte sich das Unternehmen wiederholt zu sagen, welche Beweise es erhalten habe, die darauf hindeuteten, dass die gestohlenen Daten gelöscht worden seien. Früh Berichte sagte, das Unternehmen habe Videobeweise erhalten, aber PowerSchool wollte dies auf Nachfrage von TechCrunch weder bestätigen noch dementieren.
Dennoch ist ein Löschnachweis keineswegs eine Garantie dafür, dass Hacker nicht bereits im Besitz der Daten sind; Die kürzliche Eliminierung der LockBit-Ransomware-Bande in Großbritannien hat Beweise dafür erbracht Die Bande verfügte immer noch über Daten von Opfern, die eine Lösegeldforderung bezahlt hatten.
Wir wissen immer noch nicht, wer hinter dem Angriff steckt
Eine der größten Unbekannten beim PowerSchool-Cyberangriff ist, wer dafür verantwortlich ist. Das Unternehmen hat mit den Hackern kommuniziert, sich jedoch geweigert, deren Identität preiszugeben. CyberSteward, die kanadische Incident-Response-Organisation, mit der PowerSchool verhandelte, antwortete nicht auf die Fragen von TechCrunch.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Auf einem arbeitsfreien Gerät können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter kontaktieren carly.page@techcrunch.com.
