US-Schulbezirke, die vom jüngsten Cyberangriff auf den Bildungstechnologieriesen PowerSchool betroffen waren, teilten TechCrunch mit, dass Hacker auf „alle“ historischen Schüler- und Lehrerdaten zugegriffen hätten, die in ihren Schülerinformationssystemen gespeichert seien.
PowerSchool, dessen Schulaktensoftware zur Unterstützung von mehr als 50 Millionen Schülern in den Vereinigten Staaten eingesetzt wird, wurde im Dezember von einem Einbruch heimgesucht das Kundensupportportal des Unternehmens kompromittiert mit gestohlenen Zugangsdaten, die den Zugriff auf große Mengen personenbezogener Daten von Schülern und Lehrern in Grund- und weiterführenden Schulen ermöglichen. Der Angriff wurde bisher nicht öffentlich einem bestimmten Hacker oder einer bestimmten Gruppe zugeschrieben.
PowerSchool machte keine Angaben dazu, wie viele seiner Schulkunden betroffen waren. Allerdings teilten zwei Quellen in den betroffenen Schulbezirken, die nicht genannt werden wollten, TechCrunch mit, dass Hacker auf eine große Menge personenbezogener Daten aktueller und ehemaliger Schüler und Lehrer zugegriffen hätten.
„In unserem Fall habe ich gerade bestätigt, dass sie alle historischen Schüler- und Lehrerdaten erhalten haben“, sagte eine Person aus einem betroffenen Schulbezirk gegenüber TechCrunch. Die Person fügte hinzu, dass PowerSchool zwar sagte, Hacker hätten seit Ende Dezember Zugriff auf ihre Daten gehabt, Bezirksakten zeigten jedoch, dass Angreifer früher Zugriff erhalten hätten.
Eine andere Person, die in einem Schulbezirk mit fast 9.000 Schülern arbeitet, sagte gegenüber TechCrunch, dass Angreifer auf „demografische Daten zu jedem Lehrer und Schüler, sowohl aktiven als auch historischen, seit wir PowerSchool haben“ zugegriffen hätten.
„Wir haben diesen Zugriff in unseren Unterlagen gesehen und (PowerSchool) ihn in Kundenanrufen offengelegt“, sagte die zweite Person. Sie fügten hinzu, dass PowerSchool das betroffene System nicht durch grundlegende Schutzmaßnahmen wie die Multi-Faktor-Authentifizierung geschützt habe.
Als PowerSchool-Sprecherin Beth Keebler von TechCrunch kontaktiert wurde, bestritt sie die Kundenkonten nicht, lehnte es jedoch ab, die Sicherheitskontrollen zu besprechen, und verwies auf die Unternehmensrichtlinien. Auf die Frage, ob PowerSchool in seinem Unternehmen Multi-Faktor-Sicherheit nutzt, antwortete Keebler, dass das Unternehmen „MFA einsetzt“, ging jedoch nicht näher darauf ein.
Mehrere Schulbezirke haben Informationen darüber veröffentlicht, wie sich der Verstoß gegen PowerSchool auf ihre Schüler und Mitarbeiter auswirkt. Der Menlo Park City School District, ein weiterer von der PowerSchool-Verletzung betroffener Bezirk, bestätigte ebenfalls, dass während der Datenschutzverletzung auf seine historischen Daten zugegriffen wurde. In einen Hinweis auf Ihrer WebsiteDer kalifornische Schulbezirk sagte, Hacker hätten auf Daten „aller aktuellen Schüler und Mitarbeiter“ sowie auf Daten über Schüler und Mitarbeiter zugegriffen, die bis zum Beginn des Schuljahres 2009-2010 zurückreichen.
PowerSchool-Sprecher Keebler lehnte es ab, sich zum Ausmaß des Datenverstoßes zu äußern, erklärte gegenüber TechCrunch jedoch, dass PowerSchool „die Schulen und Bezirke identifiziert hat, deren Daten betroffen waren“. Das Unternehmen lehnte es ab, die Namen dieser Schulen oder Bezirke öffentlich zu veröffentlichen.
Keebler sagte, PowerSchool arbeite immer noch daran, bestimmte Personen zu identifizieren, auf deren Daten möglicherweise zugegriffen wurde.
Marc Racine, Geschäftsführer des in Boston ansässigen Bildungstechnologie-Beratungsunternehmens RootED Solutions, sagte in einem Blogbeitrag Diese Woche wurde bekannt gegeben, dass der PowerSchool-Verstoß auch Schulbezirke betrifft, die ehemalige PowerSchool-Kunden sind, was darauf hindeutet, dass das Ausmaß des Verstoßes möglicherweise über die bestehenden 18.000 Bildungskunden der Organisation hinausgeht.
Racine fügte hinzu, dass einige Schulbezirke berichten, dass die Zahl der betroffenen Schüler vier- bis zehnmal höher sei als die Zahl der aktiv eingeschriebenen Schüler in ihrem Bezirk.
Laut einer PowerSchool-FAQ, die letzte Woche mit Kunden geteilt wurde TechCrunch sahZu den durch den Verstoß gestohlenen Daten gehören Namen und Adressen von Einzelpersonen, Sozialversicherungsnummern, einige medizinische und akademische Daten sowie andere nicht näher bezeichnete personenbezogene Daten von Studenten und Lehrkräften.
Der Rancho Santa Fe School District, ein kalifornischer Schulbezirk, der von dem Hack betroffen war und einer der ersten Kunden von PowerSchool war Reichen Sie Ihre eigene Datenschutzverletzungsmeldung ein Mit staatlichen Aufsichtsbehörden teilten die Angreifer mit, dass die Angreifer auch auf die Anmeldedaten der Lehrer zugegriffen hätten, um auf PowerSchool zuzugreifen.
Auf Nachfrage von TechCrunch sagte Keebler, dass „die Art der auf der Plattform des Student Information System (SIS) gespeicherten Daten und die Richtlinien zur Aufbewahrung historischer Daten je nach den Anforderungen einzelner Kunden und Bundesstaaten variieren.“
„Während unsere Datenüberprüfung noch andauert, hoffen wir, dass die Sozialversicherungsnummern oder medizinischen Informationen der Mehrheit der beteiligten Kunden nicht exfiltriert wurden“, sagte Keebler am Dienstag in einer Erklärung gegenüber TechCrunch.
PowerSchool teilte TechCrunch letzte Woche mit, dass es „geeignete Schritte“ unternommen habe, um die Veröffentlichung der gestohlenen Daten zu verhindern, und dass es „glaubt, dass die Daten ohne weitere Replikation oder Verbreitung gelöscht wurden“. Das Unternehmen machte keine Angaben zu den ergriffenen Maßnahmen und lehnte es ab, zu sagen, welche Beweise das Unternehmen hatte, die darauf hindeuten, dass die gestohlenen Daten gelöscht wurden.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Auf einem arbeitsfreien Gerät können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter kontaktieren carly.page@techcrunch.com.
