Dalış Özeti:
- Şirket Perşembe günü K-12 Dive’a yaptığı açıklamada, PowerSchool’un 28 Aralık’ta PowerSource hizmeti aracılığıyla bazı öğrenci ve personel bilgilerine yetkisiz erişim içeren “potansiyel” bir siber güvenlik olayının farkına vardığını doğruladı. PowerSource bölge ve okul personeli için bir müşteri destek portalıdır.
- Bir PowerSchool sözcüsü e-postayla gönderdiği açıklamada “olayın kontrol altına alındığını ve verilerin paylaşılmasını veya kamuya açıklanmasını beklemiyoruz” dedi. Şirket, olayın bir fidye yazılımı saldırısı olmadığını söyledi.
- Bu veri ihlalinin kapsamı sorulduğunda PowerSchool, olaydan etkilenen öğrenci, öğretmen veya okul bölgelerinin sayısı hakkında yorum yapmadı. Giderek artan sayıda bölge – dahil San Diego Birleşik Okul Bölgesi Ve Massachusetts’in Lenox Devlet Okulları – PowerSchool tarafından verilerine tehdit aktörü tarafından erişildiği konusunda uyarıldıklarını kamuya açık bir şekilde bildiriyorlar.
Dalış Bilgisi:
Şirket, bilgisayar korsanının PowerSchool’un Öğrenci Bilgi Sistemi veritabanındaki aile ve öğretmen bilgilerinin bulunduğu iki tabloya yetkisiz erişim sağladığına inanıldığını söyledi.
Buna ailelerin ve eğitimcilerin adları ve adresleri gibi iletişim bilgileri gibi kişisel olarak tanımlanabilir veriler de dahildir. Bazı öğretmenler ve aileler için Sosyal Güvenlik numaraları ve tıbbi veriler gibi bilgiler de ifşa edildi.
PowerSchool’un bulut tabanlı sistemleri 90’dan fazla ülkede 55 milyondan fazla öğrenci ve 17.000 eğitim müşterisi tarafından kullanılıyor.
PowerSchool etkilenen okullara ulaşırken, ülkenin çeşitli yerlerinde şirketin veri ihlalinden etkilendikleri okul bölgelerine yaptığı bildirimlerle ilgili yerel haberler yayınlanıyor. Buna eyalet çapındaki raporlar da dahildir. Kuzey Karolina Halk Eğitimi Departmanı ve Alabama Eğitim Bakanlığı.
Perşembe günü okul bölgesi yetkilileriyle yapılan bir web seminerinde PowerSchool yetkilileri, bu kimlik bilgilerinin nasıl ele geçirildiğini hâlâ araştırdıklarını belirtti. Ancak Perşembe günkü web semineri sırasında PowerSchool’un bilgi güvenliği başkan yardımcısı ve CISO’su Mishka McCowan, kimlik bilgilerinin “saldırıdan çok önce bir süre boyunca karanlık ağda mevcut olduğunu” söyledi.
PowerSchool yetkilileri, şirketin durumu araştırmak için bir siber güvenlik şirketi olan CrowdStrike ile çalıştığını söyledi. CrowdStrike’ın PowerSchool’a sağladığı hizmetlerden biri de karanlık web izlemedir. CrowdStrike daha önce 2024 yazında Falcon platformuna yönelik kusurlu bir yazılım güncellemesinin bir soruna yol açmasıyla kendisini tartışmaların merkezinde bulmuştu. küresel BT ağı kesintisi.
PowerSchool veri ihlali, okulların öğrencilerin ve personelin hassas bilgilerini barındıran ağları koruma konusunda giderek daha hassas hale geldiği bir zamanda ortaya çıkıyor.
Siber güvenlik olayından önce PowerSchool, Gizliliğin Geleceği Forumu ile Yazılım ve Bilgi Endüstrisi Derneği’nin . Çeşitli kuruluşlardan 484 imzacının bulunduğu taahhüt, öğrencilerin kişisel bilgilerinin toplanması, bakımı ve kullanımında mahremiyetini korumak için oluşturuldu.
PowerSchool yetkilileri, Perşembe günkü web seminerinde, olayın okul topluluklarına nasıl iletileceği konusunda etkilenen bölgelerle birlikte çalışacağını söyledi. Şirket ayrıca kredi izleme desteği sunmak için de çalışıyor.
Ayrıca PowerSchool’un baş hukuk sorumlusu Michael Bisignano, web semineri sırasında bölge liderlerine kendileriyle iletişime geçmelerini tavsiye etti. .
Bisignano, “Bu konuda kesinlikle sigorta acentelerinizle etkileşime geçmeli ve onlarla sizin için en iyi durum hakkında konuşmalısınız” dedi ve bir sigorta şirketine bildirimde bulunmanın mutlaka bölgenin herhangi bir şey için teminat almak istediği anlamına gelmediğini ekledi. Aksine, bunun sadece bir başlangıç adımı olduğunu ve bölgelerin bunu yapmak zorunda olmadığını söyledi.