Eğitim teknolojisi devi PowerSchool’u ihlal eden bilgisayar korsanı, şantaj talebinde 62,4 milyon öğrenci ve 9,5 milyon öğretmenin kişisel verilerini çaldıklarını iddia etti.
PowerSchool, K-12 okulları ve bölgeleri için kayıt, iletişim, katılım, personel yönetimi, öğrenme sistemleri, analitik ve finans için araçlar sağlayan bulut tabanlı bir yazılım çözümleri sağlayıcısıdır.
7 Ocak’ta PowerSchool, bir tehdit aktörünün şirketin PowerSource müşteri destek portalına erişmek için çalıntı kimlik bilgilerini kullanmasının ardından bir siber saldırıya uğradığını açıkladı.
Tehdit aktörü, bu erişimi kullanarak, bölgelerin PowerSIS veritabanlarından öğrenci ve öğretmen verilerini indirmek için bir müşteri desteği bakım erişim aracından yararlandı.
İlk olarak BleepingComputer tarafından bildirildiği ve görüldüğü üzere, bir SSS’de Sosyal Güvenlik Numaraları, tıbbi bilgiler ve notlar gibi hassas bilgilerin ihlalden etkilenen bir grup öğrenci için çalındığı belirtildi.
Bu SSS’de ayrıca PowerSchool’un çalınan verilerin özel olarak sızdırılmasını önlemek için fidye ödediği ve tehdit aktörünün verileri sildiğini iddia ettiği bir videonun görüldüğü belirtildi.
Şirket, özel müşteri SSS’sinde diğer güvenlik açıklamalarına göre daha fazla şeffaflık göstermiş olsa da, ihlalden kaç öğrenci ve öğretmenin etkilendiğine ve BleepingComputer ile konuşan ebeveynleri, öğretmenleri ve okul yöneticilerini hayal kırıklığına uğrattığına dair hala belirli rakamlar vermediler.
Ancak BleepingComputer, bu ihlalin etkisine daha fazla ışık tutacak bilgiler aldı.
62 milyondan fazla öğrenci etkilendi
Birden fazla kaynağa göre, PowerSchool saldırısının arkasındaki tehdit aktörü, şirkete şantaj yaparak ABD, Kanada ve diğer ülkelerdeki 6.505 okul bölgesinin verilerini çaldığını iddia etti.
BleepingComputer’a PowerSchool veri ihlalinin toplamda 62.488.628 öğrenciyi ve 9.506.624 öğretmeni etkilediği söylendi.
BleepingComputer tarafından görülen bilgilere göre PowerSchool ihlalinden etkilendiği iddia edilen en büyük bölgeler şunlar:
| Bölge Adı | Etkilenen Öğrenciler | Etkilenen Öğretmenler |
|---|---|---|
| Toronto Bölge Okul Kurulu | 1.484.733 | 90.023 |
| Peel Bölgesi Okul Kurulu | 943.082 | 39.693 |
| Dallas Bağımsız Okul Bölgesi | 787.212 | 79.718 |
| Calgary Eğitim Kurulu | 593.518 | 133.677 |
| Memphis-Shelby İlçe Okulu | 485.087 | 54.501 |
| San Diego Birleşik | 472.278 | Muhtemelen çalınmamış |
| Charlotte-Mecklenburg Okulları | 467.974 | 57.486 |
| Wake İlçe Devlet Okulu | 461.005 | 92.783 |
Kurullar Kanada’nın belirli bir bölgesindeki tüm okulları yönettiğinden, Kanada okul kurullarının sayısının ABD okul bölgelerinden daha fazla olma eğiliminde olduğu unutulmamalıdır.
PowerSchool, soruşturması devam ettiği için belirli rakamlar hakkında yorum yapmazken, BleepingComputer’a veri ihlalinde açığa çıkan veri türünün bölgeye göre değiştiğini vurguladı.
PowerSchool, okul bölgelerinin kendi bölgeleri veya Eyalet politikası gerekliliklerine göre SIS veritabanında hangi bilgilerin saklanacağına karar verdiğini söylüyor. Bu nedenle, etkilenen öğrencilerin dörtte birinden azının Sosyal Güvenlik Numaralarının ihlalde açığa çıkması bekleniyor.
Şirket ayrıca hem bulut tabanlı hem de şirket içi PowerSchool SIS müşterilerine sahip olduklarını söyledi. Veritabanlarını kendi kendine barındıran bölgeler için veri incelemesi, bölgenin analiz için bilgi paylaşmasını gerektirdiğinden daha karmaşıktır.
Raporlamamızla ilgili sorulara yanıt olarak PowerSchool, aşağıdaki açıklamayı BleepingComputer ile paylaştı.
“PowerSchool SIS’te çok geniş bir müşteri tabanımızın olduğunu biliyoruz, ancak ilgili bireylerin çoğunluğunun (aslında dörtte üçünden fazlasının) sosyal güvenlik numaralarının çalınmadığını beklediğimizi vurgulamanın önemli olduğunu düşünüyoruz. ne tür verilerin dahil edildiğine ilişkin sorular vardır ve yanıt bireysel müşteriye göre değiştiğinden ve müşteri seçimine ve eyalet veya bölge politika ve gereksinimlerine bağlı olduğundan geniş kapsamlı açıklamalar yapmak zordur.
Hizmet verdiğimiz öğrenci, öğretmen ve aileleri derinden önemsiyoruz ve onları desteklemeye tüm kalbimizle kararlıyız. PowerSchool, bilgileri dahil olan tüm geçerli öğrenciler ve eğitimciler için iki yıllık ücretsiz kimlik koruma hizmetleri ve iki yıllık ücretsiz kredi izleme hizmetleri sunacak. Bunu, bir bireyin Sosyal Güvenlik Numarasının çalınıp çalınmadığına bakılmaksızın yapıyoruz (yani bunu, mevzuatın zorunlu olup olmadığına bakılmaksızın yapıyoruz). Ayrıca müşterilerimiz adına eyalet başsavcılıklarına, eğitimcilere, öğrencilere, velilere ve etkilenen diğer paydaşlara bildirimde bulunacağız. Müşterilerimizin ve onların kurumlarının üzerindeki bu bildirim yükünün hafifletilmesini canı gönülden diliyoruz.”
❖ Güç Okulu
PowerSchool, etkilenen tüm öğrenciler ve eğitimciler için 2 yıl boyunca ücretsiz kimlik koruma ve kredi izleme hizmetleri sunacaklarını açıkladı.
Şirket ayrıca müşteriler adına Başsavcılıklara ve etkilenen kişilere veri ihlali bildirimleri gönderecek. Bunun ne zaman gerçekleşeceğine ilişkin bir zaman çizelgesi belirsizdir.
Ayrıca PowerSchool, 17 Ocak’ta CrowdStrike’ın araştırmalarına dayanan bir olay raporu yayınlayacağına söz verdi, ancak bu tarih herhangi bir rapor yayınlanmadan geçti.
Raporun ne zaman hazır olacağı sorulduğunda PowerSchool, CrowdStrike’ın adli tıp raporunu tamamlamak için hala çalıştığını ve raporun tamamlandığında müşterilerin kullanımına sunulacağını söyledi.
Bu arada PowerSchool, müşterilere özel SSS bölümünde müşterilerin şu ana kadar bilinenler hakkında gizli bir CrowdStrike bilgi formu alabileceklerini belirten bir güncelleme yayınladı.
PowerSchool ayrıca etkilenenlerin daha fazla güncelleme için izleyebileceği özel bir halka açık web sitesi kurdu.