Lo que PowerSchool no dirá sobre su violación de datos que afecta a millones de estudiantes

Es solo en febrero, pero el reciente truco del gigante de Edtech de EE. UU. Powerschool tiene el potencial de ser una de las mayores infracciones del año.

PowerSchool, que proporciona software K-12 a más de 18,000 escuelas para apoyar a unos 60 millones de estudiantes en América del Norte, confirmó la violación a principios de enero. La compañía con sede en California, que Bain Capital adquirió por $ 5.6 mil millones en 2024dijo que los piratas informáticos utilizaron credenciales comprometidas para violar su portal de atención al cliente, permitiendo un mayor acceso al sistema de información escolar de la compañía, Powerschool SIS, que las escuelas utilizan para administrar los registros de los estudiantes, las calificaciones, la asistencia y la inscripción.

“El 28 de diciembre de 2024, nos dimos cuenta de un posible incidente de ciberseguridad que involucra acceso no autorizado a cierta información de los SIS de PowerSchool a través de uno de nuestros portales de clientes centrados en la comunidad, PowerSource”, dijo a TechCrunch, portavoz de Powerschool, a TechCrunch.

PowerSchool ha sido abierto sobre algunos aspectos de la violación. Keebler le dijo a TechCrunch que el portal de PowerSource, por ejemplo, lo hizo no apoyo Autenticación multifactor en el momento del incidente, mientras que PowerSchool lo hizo. Pero una serie de preguntas importantes permanecen sin respuesta.

TechCrunch envió a Powerschool una lista de preguntas pendientes sobre el incidente, que tiene el potencial de afectar a millones de estudiantes en los Estados Unidos, Keebler se negó a responder nuestras preguntas, diciendo que todas las actualizaciones relacionadas con la violación se publicarían en el página de incidentes de la empresa. El 29 de enero, la compañía lo dijo comenzó a notificar a los individuos afectado por la violación y los reguladores estatales.

PowerSchool dijo a los clientes que compartiría a mediados de enero un informe de incidentes de la firma de ciberseguridad CrowdStrike, que la compañía contrató para investigar la violación. Pero varias fuentes que trabajan en las escuelas afectadas por la violación le dijeron a TechCrunch que aún no lo han recibido.

Los clientes de la compañía también tienen muchas preguntas sin respuesta, forzar a los afectados por la violación a trabajar juntos para investigar el hack.

Estas son algunas de las preguntas que permanecen sin respuesta.

No se sabe cuántas escuelas o estudiantes se ven afectadas

TechCrunch ha escuchado de las escuelas afectadas por la violación de PowerSchool que su escala podría ser “masiva”. Sin embargo, PowerSchool se ha negado repetidamente a decir cuántas escuelas e individuos se ven afectados a pesar de decirle a TechCrunch que había “identificado las escuelas y distritos cuyos datos estaban involucrados en este incidente”.

Computadora Bleepingcitando múltiples fuentes, informa que el hacker responsable de la violación de PowerSchool supuestamente accedió a los datos personales de más de 62 millones de estudiantes y 9.5 millones de maestros. PowerSchool se ha negado repetidamente a confirmar si este número era preciso.

Si bien PowerSchool no dará un número, las recientes presentaciones de la compañía con los Fiscales Generales del Estado sugieren que millones tuvieron información personal robada en la violación. En una presentación ante el Fiscal General de Texas, por ejemplo, PowerSchool confirma que casi 800,000 residentes estatales tenían datos robados.

Las comunicaciones de los distritos escolares violados dan una idea general del tamaño de la violación. La Junta Escolar del Distrito de Toronto (TDSB), la junta escolar más grande de Canadá que atiende a aproximadamente 240,000 estudiantes cada año, dijo que el hacker puede haber accedido a unos 40 años de datos de estudiantes, con los datos de casi 1,5 millones de estudiantes tomados en la violación. Del mismo modo, el distrito escolar Menlo Park City de California confirmado que el hacker accedió a la información sobre todos los estudiantes y personal actuales, que respectivamente suman alrededor de 2,700 estudiantes y 400 empleados, así como a los estudiantes y al personal que se remonta al comienzo del año escolar 2009-10.

Todavía no sabemos qué tipos de datos fueron robados

No solo no sabemos cuántas personas se vieron afectadas, sino que tampoco sabemos cuánto o a qué tipos de datos se accedieron durante la violación.

En una comunicación compartida con sus clientes a principios de enero, visto por TechCrunch, la compañía confirmó que el hacker robó “información personal confidencial” a los estudiantes y maestros, incluidas las calificaciones, la asistencia y la demografía de los estudiantes. La página de incidentes de la Compañía también establece que los datos robados pueden haber incluido números de Seguro Social y datos médicos, pero dice que “debido a las diferencias en los requisitos del cliente, la información exfiltrada para un individuo dado varió en nuestra base de clientes”.

TechCrunch también tiene escuchó De varias escuelas afectadas por el incidente de que “todos” de sus datos históricos de estudiantes y maestros se vieron comprometidos.

Una persona que trabaja en un distrito escolar afectado le dijo a TechCrunch que los datos robados incluyen datos de estudiantes altamente confidenciales, incluida la información sobre los derechos de acceso de los padres para sus hijos, incluidas las órdenes de restricción e información sobre cuándo ciertos estudiantes necesitan tomar sus medicamentos.

Una fuente que habla con TechCrunch en febrero reveló que PowerSchool ha proporcionado a las escuelas afectadas una herramienta de “auto -servicio de SIS” que puede consultar y resumir los datos de los clientes de PowerSchool para mostrar qué datos se almacenan en sus sistemas. PowerSchool dijo a las escuelas afectadas, sin embargo, que la herramienta “no puede reflejar con precisión los datos exfiltrados en el momento del incidente”.

No se sabe si PowerSchool tiene sus propios medios técnicos, como registros, para determinar qué tipos de datos fueron robados de distritos escolares específicos.

PowerSchool no ha dicho cuánto le pagó al hacker responsable de la violación

PowerSchool le dijo a TechCrunch que la organización había tomado “pasos apropiados” para evitar que los datos robados se publiquen. En la comunicación compartida con los clientes, la compañía confirmó que funcionó con una compañía de respuesta a incidentes de extinción cibernética para negociar con los actores de amenaza responsables de la violación.

Esto casi confirma que PowerSchool pagó un rescate a los atacantes que violaron sus sistemas. Sin embargo, cuando TechCrunch le preguntó, la compañía se negó a decir cuánto pagó o cuánto exigía el hacker.

No sabemos qué evidencia recibió PowerSchool que se han eliminado los datos robados.

Keebler de PowerSchool le dijo a TechCrunch que la compañía “no anticipa los datos que se comparten o se hacen públicos” y que “cree que los datos se han eliminado sin ninguna más replicación o difusión”.

Sin embargo, la compañía se ha negado repetidamente a decir qué evidencia ha recibido para sugerir que los datos robados se habían eliminado. Temprano informes Dijo que la compañía recibió una prueba de video, pero PowerSchool no confirmó ni negaría cuando TechCrunch le pidió.

Incluso entonces, la prueba de eliminación de ninguna manera es una garantía de que el hacker aún no está en posesión de los datos; La reciente derribo de la pandilla de ransomware de Lockbit del Reino Unido descubrió la evidencia de que La pandilla todavía tenía datos que pertenecían a las víctimas que habían pagado una demanda de rescate.

Todavía no sabemos quién estaba detrás del ataque

Una de las mayores incógnitas sobre el ataque cibernético PowerSchool es quién fue el responsable. La compañía ha estado en comunicación con el hacker, pero se ha negado a revelar su identidad, si se conoce. Cybersteward, la organización de respuesta de incidentes canadiense con la que trabajó Powerschool para negociar, no respondió a las preguntas de TechCrunch.

Los resultados de la investigación de CrowdStrike siguen siendo un misterio

PowerSchool está trabajando con la firma de respuesta a incidentes CrowdStrike para investigar la violación. A los clientes de PowerSchool se les dijo que los hallazgos de la firma de seguridad se publicarían el 17 de enero. Sin embargo, el informe aún no se ha publicado, y los distritos escolares afectados le han dicho a TechCrunch que aún no han visto el informe. CrowdStrike declinó hacer comentarios cuando TechCrunch le preguntó.

CrowdStrike publicó un informe provisional en enero, que TechCrunch ha visto, pero no contenía nuevos detalles sobre la violación.

¿Tiene más información sobre la violación de datos de PowerSchool? Nos encantaría saber de ti. Desde un dispositivo no laboral, puede comunicarse con Carly Page de forma segura en la señal al +44 1536 853968 o por correo electrónico al carly.page@techcrunch.com.

fuente

Últimas noticias

Snoop Dogg deja a Bill Belichick y a la novia de 24 años Jordon Hudson sorprendida con brutal deslizamiento

La serie Samsung Galaxy S25 con Snapdragon 8 Elite Chip sale a la venta en India: ofertas, precio

Super Bowl 2025: Consejos de apuestas, truco y consejos

Jimmy Butler se une a Warriors, dice que está listo para la oportunidad por el título

Las tres palabras de la policía antes de que él tasó la abuela que todavía persigue a la familia después de su muerte, mientras emiten un mensaje a su asesino

Predicción de Brighton vs Chelsea, alineaciones, consejos de apuestas y probabilidades

El tren estalló en llamas mientras viaja en Pensilvania, obligando a cientos de evacuar

Randy Moss hace una aparición sorpresa emocional en la NFL honores dos meses de revelar la batalla del cáncer

Jimmy Butler se une a los Warriors, listo para otra oportunidad por el título

Actualización importante después de que Madre fue encontrada muerta dentro de la unidad Mount Gambier en circunstancias ‘inusuales’

Lo que PowerSchool no dirá sobre su violación de datos que afecta a millones de estudiantes