Adatlopás sújtja a PowerSchool-t, és ez rendkívül, rendkívül rosszul fest.

Adatlopás az iskolákban: A PowerSchool hack története

Szülők, diákok, tanárok és adminisztrátorok Észak-Amerikában a 2025-ös év legnagyobb adatlopásának következményeivel küzdenek. A hackertámadás a PowerSchool nevű, kaliforniai Folsomban található felhőalapú szolgáltatónál történt, amely körülbelül 16,000 K-12 iskolának nyújt szoftvert világszerte. A szolgáltatás 60 millió diákot szolgál ki, és számtalan tanárt foglalkoztat.

A PowerSchool nem csupán az adminisztráció, az értékelések és egyéb funkciók támogatására szolgál, hanem személyes adatokat is tárol a diákokról és tanárokról. Ezek között szerepelnek a szociális biztonsági számok, orvosi információk és lakcímek is.

Január 7-én a PowerSchool bejelentette, hogy hálózati behatolás érte két héttel korábban, amely az ügyfelek által tárolt személyes információk “engedély nélküli exportálásához” vezetett. Az ellopott információk között találhatóak az egyének nevei, elérhetőségei, születési dátuma, orvosi riasztási információk, szociális biztonsági számok és egyéb, meg nem határozott kapcsolódó információk.

Azóta az Egyesült Államok és Kanada iskolái a pusztító következményekkel szembesülnek. Hétfőn például a Toronto District School Board értesítette a szülőket, diákokat és korábbi diákokat arról, hogy a megsértett adatok az összes, a körzetben 1985 és 2024 között tanuló diák érzékeny információit érintették. Az ellopott adatok a diákok beiratkozásának évei szerint változtak, de az alábbi információk szerepeltek közöttük:

  • keresztnév, középső név és vezetéknév
  • születési dátum
  • nem
  • egészségügyi kártya szám
  • osztályszint és iskolai információk
  • diákként való kezdő/befejező dátum
  • Ontario Education Number
  • EQAO támogatási információk
  • orvosi információk (pl. allergiák, állapotok, sérülések)
  • lakcím
  • otthoni telefonszámok
  • TDSB diák száma
  • TDSB e-mail cím
  • Első Nemzetek, Métis és Inuit információk
  • rezidens státusz
  • igazgatói/helyettes igazgatói megjegyzések (beleértve a fegyelmi megjegyzéseket)

A múlt héten Kalifornia Menlo Park City School Districtje bejelentette, hogy az ellopott információk az összes jelenlegi diáknak és munkatársnak, valamint az 2009-2010-es tanév óta beiratkozott diákoknak és sok olyan munkatársnak is a birtokában vannak, akik csak rövid ideig dolgoztak az iskolában.

“Ez magában foglalja azokat a diákokat is, akik csak rövid ideig voltak beiratkozva, mielőtt átkeltek egy másik iskolába, és azokat a munkatársakat, akik csak rövid ideig dolgoztak a MPCSD-nél” – áll a múlt heti értesítésben. Az érintett diákok száma összesen 10,662. A értesítés azt is tartalmazta, hogy a kaliforniai törvények előírják a középiskolák számára, hogy örök időkre tárolják a diákok adatait.

A PowerSchool elmondta, hogy kapcsolatban állt a támadókkal, és biztosítékokat kaptak arra, hogy az adatokat nem hozzák nyilvánosságra. A Bleeping Computer arról számolt be, hogy a biztosítékok egy olyan videón alapultak, amelyen a fenyegető eltávolítja az adatokat. A PowerSchool még nem erősítette meg ezt az állítást. Még ha az állítás igaz is, egy videó nem tudja bizonyítani, hogy az összes adatmásolatot megsemmisítették.

A Bleeping Computer szerdán arról is beszámolt, hogy a támadó, aki az extorciós levelet küldött a PowerSchool-nak, azt állította, hogy 62,4 millió diák és 9,5 millió tanár személyes adatai kerültek a lopás áldozatául. A PowerSchool két év ingyenes hitelmonitoringot kínál az érintettek számára.

A PowerSchool eddig nem hozta nyilvánosságra az érintett személyek számát, és nem erősítette meg, hogy váltságdíjat fizettek volna.

Érdekes tény: Az AI technológiák képesek segíteni az iskolákat az adatvédelmi incidensek megelőzésében azáltal, hogy valós időben figyelik a rendszereket és az adatforgalmat.

Források: Bleeping Computer, Toronto District School Board, PowerSchool