Nous ne sommes que quelques mois après 2025, mais le récent piratage du géant PowerSchool de l’EdTech est sur la bonne voie pour être l’une des plus grandes violations de données de l’éducation de ces dernières années.
Powerschool, qui fournit des logiciels K-12 à plus de 18 000 écoles pour soutenir quelque 60 millions d’étudiants en Amérique du Nord, a d’abord divulgué la violation de données début janvier 2025.
La société basée en Californie, que Bain Capital a acquise pour 5,6 milliards de dollars, a déclaré qu’un pirate inconnu a utilisé un seul Creddedential compromis pour briser son portail de support client en décembre 2024, permettant un accès supplémentaire au système d’information scolaire de l’entreprise, PowerSchool Sis, que les écoles utilisent pour gérer les registres, les notes, les notes, l’attente et l’inscription.
Alors que PowerSchool a été ouvert sur certains aspects de l’exemple de violation, PowerSchool a déclaré à TechCrunch que le portail PowerSource à violation n’avait pas soutenu l’authentification multi-facteurs au moment des questions de l’importateur incident-several restent sans réponse.
TechCrunch sent Powerschool une liste de questions en suspens sur l’incident, ce qui affecte potentiellement des millions d’étudiants.
Le porte-parole de PowerSchool, Beth Keebler, a refusé de répondre aux questions de l’OU, affirmant que toutes les mises à jour liées à la pause seraient publiées sur l’incident de l’entreprise. Le 29 janvier, la société a déclaré qu’elle avait commencé à informer les personnes touchées par la violation et les régulateurs de l’État.
De nombreux clients de l’entreprise ont également des questions en suspens sur la violation, forçant les personnes touchées à travailler ensemble pour enquêter sur le piratage.
Début mars, PowerSchool a publié sa violation de données post-mortem, comme préparé par Crowdsstrike, deux mois après que les clients de PowerSchool Wre ont dit qu’il serait réintéressé. Alors que de nombreux détails du rapport étaient connus, Crowdstrike a confirmé qu’un pirate avait accès aux systèmes de PowerSchool dès août 2024.
Voici quelques-unes des questions qui restent sans réponse.
PowerSchool n’a pas dit combien de personnel sont affectés
TechCrunch a entendu des clients PowerSchool que l’ampleur de la violation de données pourrait être «massive». Mais PowerSchool a refusé à plusieurs reprises de dire que les écoles et les individus Howry sont touchés, malgré le fait que TechCrunch avait «identifié les écoles et les districts que les données étaient impliquées dans cet incident».
Bleeping Computer, citant plusieurs sources, a rapporté en janvier que le pirate responsable de la violation de PowerSchool avait accueilli les données personnelles de plus de 62 millions d’étudiants et de 9,5 millions d’enseignants.
Lorsqu’on lui a demandé par TechCrunch, PowerSchool a refusé de confirmer si ce nombre était exact.
Les dépôts de PowerSchool auprès des procureurs généraux et des communications des écoles violées suggèrent cependant que des millions de personnes ont probablement eu des informations personnelles volées dans la violation de données.
Dans un dossier auprès du procureur général du Texas, Powerschool a confirmé que près de 800 000 résidents de l’État avaient des données volées. Un dépôt de janvier auprès du Maine’storney General a déclaré qu’au moins 33 000 résidents étaient comptabilisés, mais cela a depuis été mis à jour pour dire que le nombre d’individues impatientées est «à déterminer».
La commission scolaire du district de Toronto, la grande commission scolaire du Canada qui dessert environ 240 000 élèves chaque année, a déclaré que le pirate pourrait avoir accédé à quelque 40 ans de données sur les élèves, avec des données de près de 1,5 million d’élèves pris en cas de violation.
Le district scolaire de Menlo Park City en Californie a également confirmé que le pirate a accroché des informations sur tous les étudiants actuels et le personnel qui se comportent environ 2 700 étudiants et 400 membres du personnel ainsi que les étudiants et le personnel datant du début de l’année scolaire 2009-2010.
Powerschool n’a pas dit quels types de données ont été volées
Non seulement nous ne savons pas combien de personnes que nous avons affectées, mais nous ne faisons pas non plus combien ou quels types de données ont été accédés pendant la violation.
Dans une communication partagée avec les clients en janvier, vu par TechCrunch, PowerSchool a déclaré que le pirate avait volé des «informations personnelles sensibles» sur les étudiants et les enseignants, y compris les notes des étudiants, l’attente et la démographie. La page d’incident de l’entreprise stipule également que les données volées peuvent avoir inclus des numéros de sécurité sociale et des données médicales, mais affirment que «en raison de différentiels dans les exigences des clients, les informations exfiltrées pour une personne donnée variaient dans notre coutume.»
TechCrunch a entendu plusieurs écoles touchées par l’incident que «toutes» de leurs données historiques d’élèves et d’enseignants ont été compromises.
Une personne qui travaille dans un district scolaire affuté a déclaré à TechCrunch que les données volées comprennent des données d’étudiants très sensibles, telles que des informations sur les droits d’accès parental à leurs enfants, les ordres de retenue et les informations sur le moment où certains étudiants doivent prendre leurs médicaments.
Une source qui s’exprime avec TechCrunch en février a révélé que PowerSchool a été une école affectée avec un outil de «Sis Self-Service» qui peut interroger et soumettre des données clients poweerschool pour montrer quelles données sont stockées dans leur système. PowerSchool a cependant déclaré à des écoles affutées que l’outil «peut ne pas refléter précisément les données exfiltrées au moment de l’incident».
Ce n’est pas réduit si Powererschool a été des moyens techniques, tels que les journaux, pour déterminer quels types de données ont été volées dans des districts scolaires spécifiques.
PowerSchool ne dira pas combien il a payé le pirate responsable de la violation
PowerSchool a déclaré à TechCrunch que l’organisation avait pris des «mesures appropriées» pour empêcher la publication des données volées. Dans la communication partagée avec les clients, la société a confirmé qu’elle travaillait avec une société de villégiature d’incident de cyber-axe pour négocier avec les acteurs de la menace responsables de la violation.
Cela confirme presque que Powererschool a payé une rançon aux attaques qui brisent son système. Cependant, lorsqu’on lui a demandé par TechCrunch, la société a refusé de dire combien elle a payé, ou combien le pirate a demandé.
Nous ne savons pas quelles preuves PowerSchool a reçues que les données volées ont été supprimées
Keebler de PowerSchool a déclaré à TechCrunch que la société « n’anticipe pas les données partagées ou rendues publiques » et qu’elle « estime que les données ont été supprimées sans autre réplication ou diffusion ».
Cependant, l’entreprise a refusé à plusieurs reprises de dire quelles preuves elle a reçu pour suggérer que les données volées avaient été supprimées. Les premiers rapports indiquent que la société avait reçu une preuve vidéo, mais PowerSchool ne confirmerait pas ou ne nierait pas quand TechCrunch lui a demandé.
Même alors, la preuve de suppression n’est en aucun cas une garantie que le pirate n’est toujours pas en possession des données; Le récent démontage du Royaume-Uni du gang de ransomware de Lockbit Unarthence que le gang avait encore des données ce qui était à la victime qui avait payé une demande de rançon.
Le pirate derrière la violation de données n’est pas encore connu
L’une des plus grandes inconnues de la cyberattaque PowerSchool est qui était responsable. L’entreprise a été en communication avec le pirate mais a refusé de révéler leur identité, si elle est connue. Cybersteward, l’organisation canadienne de réponse aux incidents avec laquelle Powerschool World avec pour négocier, n’a pas répondu aux questions de TechCrunch.
Le rapport judiciaire de Crowdstrike laisse des questions sans réponse
Après la libération par PowerSchool de son rapport judiciaire Crowdsstrike en mars, une personne dans une école touchée par la pause a déclaré à TechCrunch que les conclusions étaient «décevantes».
Le rapport a confirmé que la violation était causée par un Creddedential compromis, mais la cause profonde de la façon dont le Creddedential compromis a été acquis et utilisé reste inconnu.
Mark Racine, directeur général de la société de conseil en technologie de l’éducation basée à Boston, a raconté des solutions, a déclaré à TechCrunch que les fournisseurs de rapports «quelques détails», il y a des informations d’encoche pour «comprendre ce qui n’a pas fonctionné».
On ne sait pas exactement à quel point la violation de PowerSchool se déroule réellement
Un nouveau détail dans le rapport Crowdsstrike est qu’un pirate a eu accès au réseau de PowerSchool entre le 16 août 2024 et le 17 septembre 2024.
L’accès a été acquis en utilisant les mêmes informations d’identification compromises utilisées dans la violation de décembre, et le pirate a accédé à Powerce de PowerSchool, le même portail de support client compromis en décembre pour accéder au système d’information scolaire de Powererschool.
Crowdstrike a cependant déclaré qu’il n’y a pas de preuves encenles pour conclure qu’il s’agit du même acteur de menace responsable de la violation de décembre en raison de journaux insuffisants.
Mais les résultats suggèrent que le pirate – ou plusieurs pirates – peut avoir eu accès au réseau de Powererschool pendant des mois avant la détection de l’accès.
Avez-vous plus d’informations sur la violation de données PowerSchool? Nous serions ravis de vous entendre. À partir d’un dispositif non-travail, vous pouvez contacter Carly Page en toute sécurité sur le signal au +44 1536 853968 ou par e-mail à [email protected].
