Ce n’est que février, mais le récent hack du géant américain du géant Powererschool a le potentiel d’être l’une des plus grandes violations de l’année.
Powerschool, qui fournit un logiciel K-12 à plus de 18 000 écoles pour soutenir quelque 60 millions d’étudiants en Amérique du Nord, a confirmé la violation début janvier. L’entreprise basée en Californie, que Bain Capital a acquise pour 5,6 milliards de dollars en 2024, a déclaré que les pirates ont utilisé Creddedentials pour vioder son soutien au portail client, permettant un accès supplémentaire au système d’information scolaire de l’entreprise, Powerschool Sis, que les écoles utilisent pour gérer, attendre et inscription.
« Le 28 décembre 2024, nous avons pris conscience d’une cybersécurité potentielle impliquant un accès non autorisé à certaines informations sur Sis pour le PowerSchool grâce à l’un de nos portails de clients axés sur la communauté, PowerSource », a déclaré à TechCrunch, PowerSchool, PowerSchool, à TechCrunch.
Powerschool a été ouvert sur certains aspects de la pause. Keebler a déclaré à TechCrunch que le portail PowerSource, par exemple, n’avait pas pris en charge l’authentification multifacteur au moment de l’incident, tandis que PowerSchool l’a fait. Mais un certain nombre de questions importantes restent sans réponse.
TechCrunch a envoyé à PowerSchool une liste de questions en suspens sur l’incident, qui a le potentiel d’avoir un impact sur des millions d’étudiants aux États-Unis, a refusé de répondre aux questions, affirmant que toutes les mises à jour liées à la violation seraient publiées sur la page d’incident de l’entreprise. Le 29 janvier, la société a déclaré qu’elle avait commencé à informer les personnes touchées par la violation et les régulateurs de l’État.
Powerschool a déclaré aux clients qu’il partagerait à la mi-janvier un rapport d’incident de la société de cybersécurité Crowdstrike, que la société a embauchée pour enquêter sur la pause. Mais plusieurs sources qui travaillent dans les écoles ont un impact sur la brèche ont déclaré à TechCrunch qu’elles ne l’avaient pas encore reçu.
Les clients de l’entreprise ont également beaucoup de questions sans réponse, forçant les personnes touchées par la violation à travailler ensemble pour enquêter sur le piratage.
Voici quelques-unes des questions qui restent sans réponse.
Il n’est pas conçu combien d’écoles ou d’élèves sont affectées
TechCrunch a entendu des écoles touchées par la violation de PowerSchool selon laquelle l’échelle de l’ISS pourrait être «massive». Cependant, PowerSchool a refusé à plusieurs reprises de dire que les écoles et les individus Howry sont touchés en disant à TechCrunch qu’il avait «identifié les écoles et les districts que les données étaient impliquées dans cet incident».
Bleeping Computer, citant plusieurs sources, rapporte que le pirate responsable de la violation PowerSchool aurait accès les données personnelles de plus de 62 millions d’étudiants et 9,5 millions d’enseignants. Powerschool a refusé à plusieurs reprises de confirmer que ce nombre était exact.
Bien que PowerSchool ne donne pas un numéro, les récents dépôts de la société auprès du procureur général de l’État suggèrent que des millions d’informations personnelles ont été volées dans la violation. Dans un dossier auprès du procureur général du Texas, par exemple, PowerSchool confait que près de 800 000 résidents de l’État ont été volés de données.
Les communications des districts scolaires violées donnent une idée générale de la taille de la violation. La commission scolaire du district de Toronto (TDSB), la grande commission scolaire du Canada qui dessert environ 240 000 étudiants chaque année, a déclaré que le pirate pourrait avoir accédé à quelque 40 oui les données des élèves, avec des données de près de 1,5 million d’études prises dans la brèche. De même, le district scolaire de Menlo Park City en Californie a confirmé que le pirate avait accéléré des informations sur tous les étudiants actuels et le personnel, qui comptent respectivement environ 2 700 études et 400 employés ainsi que les étudiants et le personnel datant du début de l’année scolaire 2009-10.
Nous ne savons toujours pas quels types de données ont été volées
Non seulement nous ne savons pas combien de personnes que nous avons affectées, mais nous ne savons pas aussi combien ou quels types de données ont été accédés pendant la violation.
Dans une communication partagée avec ses clients plus tôt en janvier, vu par TechCrunch, la société a confirmé que le pirate avait volé des «informations personnelles sensibles» sur les étudiants et les enseignants, y compris les notes des étudiants, l’attente et la démographie. La page d’incident de l’entreprise stipule également que les données volées peuvent avoir inclus des numéros de sécurité sociale et des données médicales, mais affirment que «en raison de différentiels dans les exigences des clients, les informations exfiltrées pour une personne donnée ont varié à travers notre coutume».
TechCrunch a également entendu plusieurs écoles touchées par l’incident que «toutes» de leurs données historiques d’élèves et de professeurs ont été compromises.
Une personne qui travaille dans un district scolaire affusé a déclaré à TechCrunch que les données volées comprennent des données d’étudiants très sensibles, y compris des informations sur les droits d’accès parental à leurs enfants, y compris les ordonnances de non-contention et des informations sur le moment où certains studins doivent prendre leurs médicaments.
Une source qui s’exprime avec TechCrunch en février a révélé que PowerSchool a été une école affectée avec un outil de «Sis Self-Service» qui peut interroger et soumettre des données clients poweerschool pour montrer quelles données sont stockées dans leur système. PowerSchool a cependant déclaré à des écoles affutées que l’outil «peut ne pas refléter précisément les données exfiltrées au moment de l’incident».
Ce n’est pas réduit si Powererschool a été des moyens techniques, tels que les journaux, pour déterminer quels types de données ont été volées dans des districts scolaires spécifiques.
Powerschool n’a pas dit à quel point il a payé le pirate responsable de la violation
PowerSchool a déclaré à TechCrunch que l’organisation avait pris des «mesures appropriées» pour empêcher la publication des données volées. Dans la communication partagée avec les clients, la société a confirmé qu’elle travaillait avec une société de villégiature d’incident de cyber-axe pour négocier avec les acteurs de la menace responsables de la violation.
Cela confirme presque que Powererschool a payé une rançon aux attaquants qui ont violé son système. Cependant, lorsqu’on lui a demandé par TechCrunch, la société a refusé de dire combien elle a payé, ou combien le pirate a demandé.
Nous ne savons pas quelles preuves PowerSchool a reçues que les données volées ont été supprimées
Keebler de PowerSchool a déclaré à TechCrunch que la société « n’anticipe pas les données partagées ou rendues publiques » et qu’elle « estime que les données ont été supprimées sans autre réplication ou diffusion ».
Cependant, l’entreprise a refusé à plusieurs reprises de dire quelles preuves elle a reçu pour suggérer que les données volées avaient été supprimées. Les premiers rapports indiquent que la société avait reçu une preuve vidéo, mais PowerSchool ne confirmerait pas ou ne nierait pas quand TechCrunch lui a demandé.
Même alors, la preuve de suppression n’est en aucun cas une garantie que le pirate n’est toujours pas en possession des données; Le récent démontage du Royaume-Uni du gang de ransomware de Lockbit Unarthence que le gang avait encore des données ce qui était à la victime qui avait payé une demande de rançon.
Nous donnons encore à savoir qui était derrière l’attaque
L’une des plus grandes inconnues de la cyberattaque PowerSchool est qui était responsable. L’entreprise a été en communication avec le pirate mais a refusé de révéler leur identité, si elle est connue. Cybersteward, l’organisation canadienne de réponse aux incidents avec laquelle Powerschool World avec pour négocier, n’a pas répondu aux questions de TechCrunch.
Les résultats de l’enquête de Crowdsstrike restent un mystère
Powerschool travaille avec la société de réponse aux incidents Crowstrike pour enquêter sur la violation. Les clients de Powerschool ont été informés que les conclusions de la société de sécurité seraient publiées le 17 janvier. Cependant, le rapport n’avait pas encore été publié, et les districts scolaires concernés ont déclaré à TechCrunch qu’ils n’avaient pas encore le rapport. Crowdsstrike a refusé de savoir comment TechCrunch l’a demandé.
Crowdsstrike publie un rapport intérimaire en janvier, que TechCrunch a vu, mais ne contenait aucun nouveau détail sur la violation.
Avez-vous plus d’informations sur la violation de données PowerSchool? Nous serions ravis de vous entendre. À partir d’un dispositif non-travail, vous pouvez contacter Carly Page en toute sécurité sur le signal au +44 1536 853968 ou par e-mail à [email protected].
