Teksas Başsavcısı Ken Paxton, Kaliforniya merkezli bir eğitim teknolojisi sağlayıcısı Powerschool’a karşı dava açtı. Dava, 880.000’den fazla Teksas okul çağındaki çocuk ve öğretmenlerin hassas kişisel bilgilerini ortaya çıkaran büyük bir Powerschool veri ihlali üzerinden açılmaktadır.
Aralık 2024’te meydana gelen PowerSchool veri ihlali, isimler, adresler, sosyal güvenlik numaraları, tıbbi detaylar, sakatlık kayıtları, özel eğitim bilgileri ve hatta okul otobüsü durak yerleri gibi ödün verileri tehlikeye attı. Yetkililer, maruziyetin kapsamının çocukları ve eğitimcileri ciddi kimlik hırsızlığı ve diğer güvenlik tehditleri riskine sokduğunu söylüyor.
Powerschool veri ihlalinin detayları
Mahkeme dosyalarına göre, bir bilgisayar korsanı, yeterli korumaları olmayan bir alt yüklenicinin hesabı aracılığıyla Powerschool’un sistemlerine erişim kazandı. Yönetim düzeyinde erişim ile saldırgan, büyük miktarda şifrelenmemiş veri yabancı bir sunucuya aktarabildi.
PowerSchool’un platformu Amerika Birleşik Devletleri’nde yaygın olarak kullanılmaktadır. Şirket, K-12 okulları için öğrenci bilgi yönetimi, kayıt sistemleri ve operasyonel araçlar dahil bulut tabanlı hizmetler sunmaktadır. Kendisini ülke çapında yaklaşık 18.000 bölge veya okula hizmet ettiği ve 6.500 müşteri hackten doğrudan etkilenen reklamı yapıyor.
Toplamda 62 milyondan fazla öğrenci ve dünya çapında yaklaşık 10 milyon öğretmen etkilendi. Sadece Teksas’ta maruz kalan bireylerin sayısı 880.000’dir.
Powerschool’a karşı iddialar
Teksas Başsavcılığı, Powerschool’un hem Teksas aldatıcı ticaret uygulamaları Yasasını hem de Kimlik Hırsızlığı Uygulama ve Koruma Yasası’nı ihlal ettiğini iddia ediyor. Müfettişler, Powerschool’un müşterileri siber güvenlik önlemlerinin gücü hakkında yanlış yönlendirdiğini ve çok faktörlü kimlik doğrulama, katı erişim kontrolleri ve veri şifreleme gibi temel önlemleri bile uygulayamadığını savunuyorlar.
Paxton yaptığı açıklamada, “Ebeveynler, çocuklarını okula kaydetmek için sağladıkları bilgilerin çalınabileceğinden ve kötüye kullanılabileceğinden endişe etmemeli,” dedi. “Big Tech, güvenlik üzerine köşeleri keserken çocukların verilerini yönetebileceklerini düşünüyorsa, yanlışlar yanlış. Ofisim, Powerschool’u Teksas öğrencilerini, öğretmenleri ve aileleri riske atmaktan sorumlu tutmak için elimizden geleni yapacak.”
Dava, Powerschool’un yazılımını “en yüksek güvenlik standartlarını” karşılamak ve “son teknoloji korumaları” sunarken, gerçekte bu vaatleri yerine getiremediğini ileri sürüyor.
Yanıt ve Hesap Verebilirlik
Powerschool, sistemlerinin ihlalden önce yerinde çok faktörlü kimlik doğrulaması olmadığını kabul etti. Ancak, şirket Teksas davası hakkında kamuya açıklanmamıştır. Bir sözcü bu hafta sorulara cevap vermedi.
Bu yılın başlarında, bir Massachusetts College öğrencisi, hackleme ve iade ayrıntıları belirsiz olmasına rağmen, saldırıyı yürütmekten suçlu bulundu. Buna rağmen, Paxton’un ofisi Powerschool’un yetersiz güvenlik uygulamaları nedeniyle maruz kalma ölçeği için doğrudan sorumluluk verdiğini savunuyor.
Daha geniş etki
Dava, eğitim sektöründeki bir teknoloji satıcısına karşı yapılan en yüksek profilli eylemler arasındadır. Okullar, öğrenci ve çalışan bilgilerini yönetmek için bulut tabanlı hizmetlere giderek daha fazla bağımlı olarak, dava veri koruma ve üçüncü taraf sağlayıcıların sorumlulukları ile ilgili artan endişeleri vurgulamaktadır.
Siber güvenlik uzmanları, hassas kayıtların (özellikle sağlık ve engellilik verileri) maruz kalmasının hem çocuklar hem de eğitimciler için uzun vadeli riskler yarattığını belirtmektedir. Otobüs durağı bilgilerinin çalınan dosyalara dahil edilmesi de alarm verdi, çünkü bu ayrıntılar reşit olmayanları fiziksel olarak bulmak için kullanılabilir.
Teksas davası, ihlalden bu yana birden fazla eyalet ve ilçeden inceleme ile karşılaşan Powerschool üzerindeki baskı baskısına katkıda bulunuyor. Düzenleyiciler ve okul yöneticileri, çok miktarda kişisel ve hassas verileri ele alan eğitim teknolojisi şirketlerinin daha güçlü bir gözetimi çağrısında bulunuyorlar.
İleriye Bakış
Dava ilerledikçe Paxton’un ofisi, Teksas aileleri için ceza ve daha güçlü korumalar arama niyetini işaret etti. Paxton, “Çocukların bilgilerini idare eden şirketlerin en yüksek standartlarda tutulmasını sağlamak için her caddeyi takip edeceğiz” dedi.
Powerschool veri ihlalinden etkilenen ebeveynler ve öğretmenler için Teksas Başsavcılığı, hesapları, kredi faaliyetlerini ve kişisel kayıtları izlemede uyanıklık çağrısında bulundu.