Toronto Bölge Okul Kurulu (TDSB), eğitim teknolojisi devi Powerschool’u içeren büyük bir veri ihlali sonrasında ebeveynleri ve personele yenilenmiş bir siber tehdidi hakkında bilgi verdi. Çarşamba günü halka açılan gasp girişimi, Powerschool’un hacker’ı ödeyerek ilk Aralık 2024 fidye yazılımı saldırısını içerdiğini iddia etmesinden haftalar sonra geliyor.
Bu ödemeye rağmen, bilgisayar korsanı yeniden ortaya çıktı – bu kez orijinal veri ihlalinden elde edilen verileri kullanarak TDSB de dahil olmak üzere okul bölgelerinden bir fidye talep ediyor.
İlk Powerschool Veri İhlali
Aralık 2024’ün sonlarında, 22 ve 28. arasında, yazılımı Kuzey Amerika’daki 6.500’den fazla okul bölgesi ve kurum tarafından kullanılan bir eğitim teknolojisi şirketi olan Powerschool, fidye yazılımı saldırısında tehlikeye atılmıştır. İhlal, Ontario’nun en büyük okul kurulu TDSB dahil olmak üzere çok sayıda okulu etkiledi.
PowerSchool, 7 Ocak 2025’teki olaydan TDSB dahil müşterilerini bildirdi. O zamanlar şirket, tehdit oyuncusuna fidye ödemek de dahil olmak üzere hızlı bir şekilde harekete geçti. Buna karşılık, bilgisayar korsanı, çalınan verilerin silinmesini gösteren bir video sağladı ve bu da Powerschool’un tehdidin etkisiz hale getirildiğine inanmasına neden oldu.
İkinci gasp denemesi
Ancak, bu inanç şimdi meydan okundu. Çarşamba günü, TDSB Eğitim Direktörü Clayton La Touche, ebeveynlere, velilere ve personele bir mektup göndererek yönetim kurulunun hafta başında yeni bir gasp mesajı aldığını doğruladı. Tehdit oyuncusu Aralık ayında elde edilen hassas verilere sahip olduğunu iddia etti ve başka bir fidye talep etti.
Toronto Bölge Okul Yönetim Kurulu (TDSB) tarafından yaşanan bir siber olayla ilgili önemli bir güncelleme paylaşmak istedik-TDSB ve Kuzey Amerika’daki birçok okul kurulunun bir dizi öğrenci bilgilerini ve sınırlı miktarda okul temelli personel bilgilerini saklamak için kullanılan başvuru ”dedi.
Soruşturmaya aşina olan bir kaynağa göre, TDSB yeniden hedeflenen tek organizasyon değil. En az dört okul tahtasının benzer gasp mesajları aldığı bildirildi. PowerSchool etkilenen müşteri sayısını tam olarak onaylamamış olsa da, şirket tehditlerin yeniden canlanmasını kabul eden ve etkilenen müşterileri destekleme vaat eden bir açıklama yaptı.
TDSB’nin yanıtı
En son gelişmeye yanıt olarak, TDSB siber güvenlik yanıt planını etkinleştirdi. Kurul, tehdidin doğası hakkında kapsamlı bir soruşturma yürütmek ve potansiyel veri uzlaşmasının kapsamını belirlemek için Powerschool ile yakın bir şekilde çalıştığını vurgulamıştır.
TDSB, “Bu noktada, başvurudan erişilebilecek veya dışa aktarılmış olabilecek kesin bilgileri hala değerlendiriyoruz” dedi. “PowerSchool bize, yetkisiz bir kullanıcı tarafından erişilen verilerin silindiğini ve bu verilerin kopyalarının çevrimiçi olarak yayınlanmadığını onayladığını bildirdi.”
Bu güvencelere rağmen, yenilenen gasp girişimi, verilerin gerçekten silinip silinmediğinden şüphe duymuştur. Kurul, Ontario Bilgi ve Gizlilik Komiseri’ni bildirdi ve paydaşlara kişisel bilgilerin herhangi bir onaylanmış maruz kaldığından derhal ifşa edileceğinden emin oldu.
TDSB, bu haberin topluluk içinde neden olabileceği endişeyi kabul etti. Mektupta, “Lütfen Powerschool’dan neler olduğu hakkında daha fazla bilgi edinmek için mümkün olan her şeyi yaptığımızı ve bu bilgileri sizinle paylaşacağımızı bilin.
Powerschool’un pozisyonu
PowerSchool duruma, bunun yeni bir ihlal olduğuna inanmadığını yineleyen bir kamusal açıklama ile cevap verdi. Şirkete göre, en son gasp denemelerinde verilen veri örnekleri Aralık ayında çalınanlar ile eşleşiyor, bu da mevcut tehdidin orijinal olayın devamı olduğunu gösteriyor.
Şirket, konuyu hem Amerika Birleşik Devletleri hem de Kanada’daki kolluk kuvvetlerine bildirdi ve tüm müşterileri gelişmenin öğrenci bilgi sistemini (SIS) kullanarak uyardı.
Powerschool, “Bu gelişmelerden içtenlikle pişman oluyoruz-müşterilerimizin kötü aktörler tarafından tehdit edildiği ve yeniden canlandırıldığı bize acı veriyor” dedi.
Şirket ayrıca ilk fidye ödemede karşılaştığı zor kararı kabul etti. “Müşterilerimizin ve hizmet ettiğimiz öğrencilerimizin ve toplulukların yararına olduğuna inandık. Bu zor bir karardı ve liderlik ekibimizin hafifçe yapmadığı bir karardı” dedi.
Verilerin silinmesini gösteren bir video almasına rağmen, Powerschool, saldırganın sözleşmeyi onurlandırmayacağı her zaman bir riski olduğunu itiraf etti. Şirket, “Bu durumlarda her zaman olduğu gibi, kötü aktörlerin bize verilen güvencelere ve kanıtlara rağmen çaldıkları verileri silmez etme riski vardı” dedi.
Etkilenen topluluklar için destek önlemleri
Azaltma stratejisinin bir parçası olarak, Powerschool, bireysel verilerinin etkilenip etkilendiğine bakılmaksızın, SIS müşterilerinin tüm öğrencileri ve fakülteleri için iki yıllık bir süre için kredi izleme ve kimlik koruma hizmetlerini kullanılabilir hale getirmiştir.
Bu destek hizmetleri, okul topluluklarının serpinti, kimlik hırsızlığı veya sahtekarlık riski de dahil olmak üzere potansiyel veri maruziyetinden yönetmelerine yardımcı olmak içindir. Powerschool, şeffaflığa bağlı kaldığını ve müşterilerinin güvenini yeniden kazanmak için özenle çalıştığını söyledi.
Eğitim sektörü için daha geniş etkiler
Soruşturmalar devam ettikçe, TDSB ve diğer etkilenen okul kurullarının güvenlik önlemlerini, satıcı ilişkilerini ve olay müdahale stratejilerini değerlendirmeleri gerekecektir. Bu arada, Powerschool güvenlik duruşunu iyileştirmek ve paydaşlara gelecekte benzer olayları önleyebileceğine dair güvence altına alacak.
Şimdilik, ebeveynler, öğrenciler ve personel, kişisel verilerinin maruz kalıp açılmadığı ve durumun nasıl çözüleceğine dair netlik bekleyen bir belirsizlik durumunda bırakılıyor.
TDSB, daha fazla bilgi elde edildikçe topluluğunu bilgilendirme sözü verdi. La Touche, paydaşlara mektupta “Daha fazla bilgi elde edildikçe toplumu güncellemeye devam edeceğiz” dedi.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.