Базираният в Калифорния гигант в областта на образователните технологии PowerSchool уведомява учениците и преподавателите, че личната им информация е била компрометирана при нарушение на сигурността на данните през декември 2024 г.
Според компанията инцидентът е установен на 28 декември и е засегнал само средите на нейната Студентска информационна система (СИС), до които е имало достъп чрез портала за поддръжка на клиенти, насочен към общността на PowerSource.
Според PowerSchool инцидентът не е довел до оперативни смущения и не са били засегнати други продукти извън PowerSchool SIS.
„Нямаме доказателства, че други продукти на PowerSchool са били засегнати в резултат на този инцидент или че има зловреден софтуер или продължаваща неоторизирана дейност в средата на PowerSchool“, казва компанията в известие за инцидент на своя уебсайт.
Нарушаването на сигурността на данните е довело до компрометиране на лична информация като имена, данни за контакт, дати на раждане, медицинска информация, номера на социални осигуровки и друга свързана информация. Според компанията не са били засегнати кредитни карти или банкова информация.
PowerSchool заявява, че видовете компрометирана информация могат да се различават при отделните лица и че всяко засегнато лице ще получи уведомление, съдържащо конкретна информация за това как инцидентът му е повлиял.
Първоначално компанията разкри инцидента пред общността на ШИС на 7 януари, а в петък сподели допълнителни подробности, когато обяви, че на засегнатите лица се предоставят две години безплатни услуги за наблюдение на кражбата на самоличност и кредитоспособността.
PowerSchool предоставя софтуер за K-12 и облачни решения за училищни дейности в повече от 90 държави в световен мащаб, като работи с над 18 000 училища и райони и подпомага повече от 60 милиона ученици.
Компанията не е споделила информация за това колко лица или училища може да са били засегнати от нарушението на сигурността на данните, но много от нейните клиенти вече са потвърдили, че са били засегнати от инцидента.
Във Вирджиния, където поне 85 окръга използват PowerSchool, окръзите Шарлотсвил, Флувана, Ричмънд, Ръсел и Тазевел заявиха, че са били засегнати, докато Fairfax County Public Schools заяви, че не е засегнато от инцидента, тъй като не използва PowerSchool SIS.
В Калифорния училищният окръг Menlo Park City School District заяви, че са засегнати около 14 000 души, включително „всички настоящи ученици и персонал, както и ученици, които са се записали в MPCSD от началото на учебната 2009-2010 г., и много служители, които са работили в MPCSD от началото на учебната 2009-2010 г.“.
Училищният окръг Ранчо Санта Фе уведоми Главната прокуратура на Калифорния, че неговите ученици и учители са били засегнати от нарушението на сигурността на данните.
Засегнати са и множество училищни настоятелства и училища в Канада, включително районното училищно настоятелство в Торонто, а комисарят по защита на личните данни на Канада Филип Дюфрейн заяви в понеделник, че службата му проучва въпроса.
„Моята служба е в контакт с компанията, за да получи повече информация за това нарушение и да им предостави информация за изискванията за реакция при нарушение и докладване съгласно законодателството за защита на личните данни. Това ще ни позволи да предадем на компанията очакванията си относно реакцията й на нарушението и да определим следващите стъпки“, заяви Дюфрейн.
PowerSchool съобщи на клиентите, че компрометираните идентификационни данни са били използвани за достъп до нейния портал и за експортиране на данни за ученици и преподаватели. Тя също така заяви, че данните са били изтрити и няма да бъдат разпространявани, което предполага, че компанията е била мишена на атака с рансъмуер и е бил платен откуп.
