PowerSchool bu ayın başlarında bir veri ihlalinin kurbanı olduğunu açıkladığından bu yana, ülke çapında PowerSchool yazılımını kullanan okul bölgelerindeki öğrenci ve personel verilerinin etkisi ve sonuçları hakkında birçok soru var.
PowerSchool’un durumu araştıran bir siber güvenlik şirketi olan CrowdStrike’ın bulgularına dayanarak yakında bir rapor yayınlaması bekleniyor. Bir şirket sözcüsü, K-12 Dive’a Cuma günü gönderdiği bir e-postada, bu rapordaki bilgilerin doğrudan PowerSchool müşterileriyle paylaşılacağını söyledi.
K-12 yazılım şirketi bu ayın başlarında K-12 Dive’a, 28 Aralık’ta “potansiyel” olarak adlandırdığı şeyin farkına vardığını söyledi. siber güvenlik olayı Bir tehdit aktörünün PowerSource hizmetinden bilinmeyen miktarda öğrenci ve personel verilerine yetkisiz erişim elde ettiği olay. PowerSource bölge ve okul personeli için bir müşteri destek portalıdır.
Tehdit aktörünün, PowerSchool’un Öğrenci Bilgi Sistemi veritabanındaki aile ve öğretmen bilgilerini içeren iki tablodan veri çaldığına inanılıyor. Bu verilerin bir kısmı ailelerin ve eğitimcilerin adları ve adresleri gibi kişisel olarak tanımlanabilir bilgileri içerebilir. Bazı durumlarda Sosyal Güvenlik numaraları ve tıbbi veriler gibi bilgiler de ifşa edildi.
Siber hijyen eksikliği mi?
PowerSchool, K-12 Dive’a olayın bir fidye yazılımı saldırısı olmadığını söylerken, Bip sesi çıkaran bilgisayar Yazılım şirketinin müşterilere yönelik SSS sayfasında, veri ihlali sonrasında tehdit aktörüne ödeme yapıldığının kabul edildiği belirtildi. K-12 Dive daha önce PowerSchool’a şirketin tehdit aktörüne ödeme yapıp yapmadığını sorduğunda bir sözcü şunları söyledi: “İlgili verilerin daha fazla yetkisiz kötüye kullanılmasını önlemek için tüm uygun adımları attık. Olay kontrol altına alındı ve verilerin paylaşılmasını veya kamuya açıklanmasını beklemiyoruz.”
15 Ocak’ta düzenlenen web seminerinde, kar amacı gütmeyen ulusal okul siber güvenliği K12 Güvenlik Bilgisi Değişimi PowerSchool veri ihlalinin ardından siber güvenlik uzmanlarını okul bölgelerine yönelik tepkileri ve sonraki adımları paylaşmaya davet etti. K12 SIX’in kurucu ortağı ve ulusal direktörü Doug Levin, web semineri sırasında bir tehdit aktörüne şantaj yoluyla yapılan her türlü ödemenin eğitim sektörünü tehlikeye atacağını söyledi.
Levin, “Kötü niyetli aktörleri, cihazlarımızı kilitlemek için şifreleme kullanarak veya verilerimizi çalarak ve sızdırılmasını önlemek için bizden şantaj yaparak bizi hedef almaya ve şantaj yapmaya çalışmaya devam etmeye teşvik ediyor” dedi.
Levin, bir kuruluşun karanlık ağda yayınlamaması için kötü bir oyuncuya para ödese bile, çalınan verilerin daha fazla istismar edilmeyeceğinin ve paylaşılmayacağının garantisinin olmadığını ekledi. Levin, “Bunun gelecekte bir noktada ortaya çıkıp serbest bırakılmasının veya kimlik avı veya sosyal mühendislik yoluyla bireysel öğretmenleri ve öğrencileri doğrudan hedef almak için kullanılabilmesinin kesinlikle mümkün olduğunu düşünüyorum” dedi.
FBI da şiddetle caydırıyor Levin’in paylaştığına benzer nedenlerle bilgisayar korsanlarına ödeme yapan fidye yazılımı saldırılarının kurbanları.
Web seminerindeki konuşmacılar, PowerSchool’un veri ihlalinden önce PowerSource hizmeti için çok faktörlü kimlik doğrulamayı kullanıp kullanmadığına ilişkin soruları da dile getirdi.
Bir şirket sözcüsü Cuma günü K-12 Dive’a verdiği demeçte, PowerSchool’un dahili sistemleri çok faktörlü kimlik doğrulamayı kullanırken, sızan PowerSource sisteminin çok faktörlü kimlik doğrulama desteğine sahip olmadığını söyledi. Ancak PowerSchool, bu sorunun o zamandan beri iyileştirme planıyla ele alındığını söyledi.
Tennessee’deki Maryville Şehir Okulları teknoloji direktörü Wesley Lombardo, web seminerinde tek bir kullanıcının mevcut tüm okul bölgelerindeki tüm öğrenci ve öğretmen verilerine erişebilmesi için hiçbir neden olmadığını söyledi. PowerSchool’un siber hijyen eksikliğinin “oldukça endişe verici” olduğunu söyledi.
“Başlangıçtaki erişimi durduramayacakları yerlerde başarısızlıklar olduğunu düşünüyorum ama kesinlikle sızıntı başlar başlamaz, [there] Lombardo, “Çanlar, ıslıklar ve bir şeylerin ters gittiğini bildiren her türlü şey olmalıydı” dedi.
Öğrenci verilerinin gizliliği ihlalleri mi?
PowerSchool veri ihlalinin ortaya çıkmasından bu yana şirkete karşı en az dört toplu dava açıldı.
Bu daha yeni toplu davalardan biri Cuma günü, çocuklarının olaydan etkilendiğini iddia eden bir ebeveyn olan Shandrelle Okoni adına ABD’nin Kaliforniya Doğu Bölgesi Bölge Mahkemesinde açıldı. Dava, PowerSchool’un siber saldırı sırasında ihmalkar davrandığını ve veri ihlalinin 60 milyondan fazla öğretmen ve öğrenciyi etkilediğini iddia ediyor.
Ayrıca dava, PowerSchool’un etkilenen kullanıcılara zamanında bildirimde bulunmadığını, dolayısıyla kendilerini koruma yeteneklerinin ellerinden alındığını iddia ediyor.
“Bu Eğitim Teknolojisi şirketlerinin çocuklarımızın okul deneyimlerinin ayrılmaz bir parçası olduğu bir dünyada yaşıyoruz. Çocuklar bu yazılımın kullanılmasına onay alamıyor ve ebeveynlerin temelde çocuklarının bu yazılımı kullanıp kullanmama konusunda bir seçeneği yok,” diyor Morgan & Morgan hukuk firmasından avukatlar John Morgan ve Ryan McGee. davacılar. “Ancak Kuzey Amerika’daki öğrencilerin ve öğretmenlerin kişisel bilgilerini barındıran PowerSchool’un bu hassas verileri korumada başarısız olduğu ve milyonlarca çocuğun bilgilerini, güvenliğini ve mahremiyetini açığa çıkardığı iddia ediliyor.”
K12 SIX web semineri sırasında Kamu Çıkarı Gizlilik Merkezi’nin kurucusu ve başkanı Amelia Vance, daha fazla ayrıntı ortaya çıktıkça “ihlal meydana gelmeden önce alınan kararlar açısından bunun ne kadar berbat olduğu açıkça ortaya çıktı” dedi.
Vance, “Buradaki yasal yükümlülükler açık, eksik olan güvenlik gereklilikleri standarttı ve birçok yasada yer aldı” dedi.
PowerSchool, ulusal eğitim teknolojisi veri gizliliği taahhütlerini imzalayanlar arasında yer alıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansıaynı zamanda Gizlilik Forumunun Geleceği ve Yazılım ve Bilgi Endüstrisi Derneği.
İhlal sonucunda PowerSchool’un Gizliliğin Geleceği Forumu’na verdiği taahhüdün durumu şu şekildedir:inceleniyor“Gizlilik Forumunun Geleceği’ne göre. Nihai kararın 14 Ocak’tan itibaren 30 gün içinde verilmesi bekleniyordu.
Geleceğin Gizliliği Forumu’ndan 14 Ocak tarihli bir bildiride, “PowerSchool veri ihlali ve şirketin Öğrenci Gizliliği Taahhüdü taahhütlerinin olası ihlalleriyle ilgili basın raporlarını, kapsamlı bir güvenlik planı sürdürme taahhüdüne özellikle dikkat ederek inceliyoruz” denildi.
Electronic Frontier Foundation’da güvenlik ve gizlilik aktivisti olan Thorin Klosowski, bir e-postada PowerSchool gibi eğitim teknolojisi satıcılarının verileri mümkün olduğu kadar uzun süre sakladıklarını ve bu durumun onları verilerinin çalınmasına karşı savunmasız hale getirdiğini söyledi.
Klosowski, “PowerSchool gibi şirketler gizlilik öncelikli bir yaklaşım benimseyip yalnızca vaat ettikleri hizmetleri sağlamak için kesinlikle ihtiyaç duydukları şeyleri toplayıp depolayarak veri minimizasyonuna odaklansaydı, birçok veri ihlali kurbanlara çok daha az zarar verirdi” dedi.