Am 7. Januar um 23:10 Uhr erhielt Romy Backus in Dubai eine E-Mail vom Bildungstechnologieriesen PowerSchool, in der sie darüber informiert wurde, dass die Schule, an der sie arbeitet, eines der Opfer eines Datenverstoßes war, den das Unternehmen am 28. Januar entdeckt hatte. Zugriff auf ein Cloud-System, das einen Schatz an privaten Schüler- und Lehrerinformationen enthielt, einschließlich Sozialversicherungsnummern, medizinische Informationen, Notizen und andere persönliche Daten von Schulen auf der ganzen Welt.
Angesichts der Tatsache, dass PowerSchool sich selbst als den größten Anbieter cloudbasierter Bildungssoftware für K-12-Schulen – etwa 18.000 Schulen und mehr als 60 Millionen Schüler – in Nordamerika bezeichnet, könnten die Auswirkungen „enorm“ sein, wie ein Technologiemitarbeiter sagte in einem betroffenen Gebiet. Die Schule erzählte TechCrunch. Das teilten Quellen aus den von dem Vorfall betroffenen Schulbezirken gegenüber TechCrunch mit Hacker haben auf „alle“ historischen Daten von Schülern und Lehrern zugegriffen auf Ihren von PowerSchool bereitgestellten Systemen gespeichert.
Backus arbeitet an der American School of Dubai, wo er das PowerSchool SIS-System der Schule verwaltet. Schulen verwenden dieses System – dasselbe System, das gehackt wurde –, um Schülerdaten wie Noten, Anwesenheit, Einschreibung und auch sensiblere Informationen wie die Sozialversicherungsnummern und Krankenakten der Schüler zu verwalten.
Am nächsten Morgen, nachdem er die E-Mail von PowerSchool erhalten hatte, sagte Backus, er sei zu seinem Vorgesetzten gegangen, habe die Protokolle der Schule für den Umgang mit Datenschutzverletzungen aktiviert und mit der Untersuchung des Verstoßes begonnen, um genau zu verstehen, was die Hacker von seiner Schule gestohlen hätten, was PowerSchool nicht mitgeteilt habe alle Details zu ihrer Schule in Ihrer Outreach-E-Mail.
„Ich habe mit der Recherche begonnen, weil ich mehr wissen wollte“, sagte Backus gegenüber TechCrunch. „Sag mir das einfach, okay, wir waren betroffen. Exzellent. Nun, was wurde genommen? Wann wurde es aufgenommen? Wie schlimm ist das?
„Sie waren nicht bereit, uns konkrete Informationen zu geben, die die Kunden für unsere eigene Due-Diligence-Prüfung benötigten“, sagte Backus.
Bald darauf erkannte Backus, dass andere Schulverwalter, die PowerSchool nutzten, versuchten, die gleichen Antworten zu finden.
„Ein Teil davon hatte mit der verwirrenden und inkonsistenten Kommunikation seitens PowerSchool zu tun“, so einer der sechs Schulbeamten, die mit TechCrunch unter der Bedingung sprachen, dass weder sie selbst noch ihr Schulbezirk genannt werden.
„Man muss (PowerSchool) zugute halten, dass sie ihre Kunden sehr schnell darauf aufmerksam gemacht haben, insbesondere wenn man die Technologiebranche als Ganzes betrachtet, aber ihrer Kommunikation mangelte es an verwertbaren Informationen und sie war im schlimmsten Fall irreführend und im besten Fall geradezu verwirrend“, sagte der Person sagte.
Kontaktieren Sie uns
Haben Sie weitere Informationen zum PowerSchool-Verstoß? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder kontaktieren E-Mail. Sie können TechCrunch auch über kontaktieren SecureDrop.
In den ersten Stunden nach der Benachrichtigung von PowerSchool versuchten die Schulen herauszufinden, wie groß der Verstoß war oder ob überhaupt ein Verstoß vorliegt. Die E-Mail-Listen der PowerSchool-Kunden, in denen sie häufig Informationen miteinander austauschen, sind „explodiert“, wie Adam Larsen, stellvertretender Schulleiter des Community Unit School District 220 in Oregon, Illinois, gegenüber TechCrunch sagte.
Die Gemeinde merkte schnell, dass sie allein waren. „Unsere Freunde müssen schnell handeln, da sie den Informationen von PowerSchool derzeit nicht wirklich vertrauen können“, sagte Larsen.
„Es herrschte große Panik und ich habe nicht gelesen, was bereits geteilt wurde, und dann habe ich immer wieder dieselben Fragen gestellt“, sagte Backus.
Dank seiner eigenen Fähigkeiten und Kenntnisse des Systems konnte Backus schnell herausfinden, welche Daten an seiner Schule kompromittiert wurden, und begann, die Notizen mit anderen Mitarbeitern anderer betroffener Schulen abzugleichen. Als ihr klar wurde, dass es sich bei dem Verstoß um ein Muster handelte, und vermutete, dass dies auch bei anderen der Fall sein könnte, beschloss Backus, eine Anleitung mit Details wie der spezifischen IP-Adresse, die die Hacker für den Angriff auf Schulen verwendet hatten, und den entsprechenden Schritten zusammenzustellen. Wir werden den Vorfall untersuchen und feststellen, ob ein Systemverstoß vorliegt und welche konkreten Daten gestohlen wurden.
Am 8. Januar um 16:36 Uhr Dubaier Zeit, weniger als 24 Stunden nachdem PowerSchool alle Kunden benachrichtigt hatte, Backus sagte, er habe ein freigegebenes Google-Dokument gesendet auf WhatsApp in Gruppenchats mit anderen PowerSchool-Administratoren in Europa und im Nahen Osten, die häufig Informationen und Ressourcen austauschen, um sich gegenseitig zu helfen. Später an diesem Tag, nachdem er mit mehr Leuten gesprochen und das Dokument verfeinert hatte, sagte Backus, er habe es auf gepostet die PowerSchool-Benutzergruppeein inoffizielles Support-Forum für PowerSchool-Benutzer mit über 5.000 Mitgliedern.
Seitdem ist das Dokument wurde regelmäßig aktualisiert und ist auf fast 2.000 Wörter angewachsenwird in der PowerSchool-Community effektiv viral. Bis Freitag wurde das Dokument mehr als 2.500 Mal aufgerufen, so Backus, der auf Bit.ly einen kurzen Link erstellt hat, der es ihm ermöglicht, zu sehen, wie viele Personen auf den Link geklickt haben. Mehrere Personen haben die vollständige Adresse des Dokuments öffentlich auf Reddit und anderen geschlossenen Gruppen geteilt, daher ist es wahrscheinlich, dass noch viel mehr Personen das Dokument gesehen haben. Zum Zeitpunkt des Verfassens dieses Artikels sind rund 30 Zuschauer bei der Dokumentation.
Am selben Tag, an dem Backus sein Dokument veröffentlichte, veröffentlichte Larsen ein Open-Source-Toolsetso was ein Lehrvideomit dem Ziel, anderen zu helfen.
Der Artikel von Backus und die Tools von Larsen sind ein Beispiel dafür, wie die Gemeinschaft der Mitarbeiter an Schulen, die gehackt wurden – und diejenigen, die nicht wirklich gehackt wurden, aber dennoch von PowerSchool benachrichtigt wurden – zusammenkamen, um sich gegenseitig zu unterstützen. Schulbeamte mussten auf gegenseitige Hilfe zurückgreifen und kollektiv, angetrieben von Solidarität und Not, auf den Verstoß reagieren, da PowerSchool nur langsam und unvollständig reagierte, so ein halbes Dutzend Mitarbeiter der betroffenen Schulen, die sich an den Gemeinschaftsbemühungen beteiligten sprachen über ihre Erfahrungen mit TechCrunch.
Mehrere andere Schulmitarbeiter unterstützten sich gegenseitig In mehrere Reddit Themen. Einige davon wurden veröffentlicht der K-12-Systemadministrator-SubredditHier müssen Benutzer überprüft und verifiziert werden, um Beiträge veröffentlichen zu können.
Doug Levin, Mitbegründer und nationaler Direktor einer gemeinnützigen Organisation, die Schulen bei der Cybersicherheit unterstützt, K12 Security Information eXchange (K12 SIX), der veröffentlicht hat Ihre eigene FAQ über den PowerSchool-Hack sagte gegenüber TechCrunch, dass diese Art der offenen Zusammenarbeit in der Community weit verbreitet sei, aber „der PowerSchool-Vorfall von so großem Ausmaß ist, dass er offensichtlicher ist.“
„Der Sektor selbst ist ziemlich groß und vielfältig – und im Allgemeinen haben wir noch nicht die Infrastruktur für den Informationsaustausch aufgebaut, die in anderen Sektoren für Cybersicherheitsvorfälle existiert“, sagte Levin.
Levin betonte die Tatsache, dass der Bildungssektor auf eine offene Zusammenarbeit über informellere, manchmal öffentliche Kanäle angewiesen ist, oft weil die Schulen im Allgemeinen unterbesetzt sind, was IT-Fachkräfte angeht, und es ihnen an Fachwissen im Bereich Cybersicherheit mangelt.
Ein anderer Schulbeamter sagte gegenüber TechCrunch: „Viele von uns haben nicht die Mittel für alle Cybersicherheitsressourcen, die wir brauchen, um auf Vorfälle zu reagieren, und wir müssen zusammenkommen.“
Als PowerSchool-Sprecherin Beth Keebler um einen Kommentar gebeten wurde, sagte sie gegenüber TechCrunch: „Unsere PowerSchool-Kunden sind Teil einer starken Sicherheitsgemeinschaft, die sich dem Informationsaustausch und der gegenseitigen Hilfe widmet.“ Wir sind dankbar für die Geduld unserer Kunden und bedanken uns herzlich bei denen, die ihren Kollegen durch die Weitergabe von Informationen geholfen haben. Das werden wir auch weiterhin tun.“
Zusätzliche Berichterstattung von Carly Page.
