È solo febbraio, ma il recente hack del gigante dell'edtech statunitense PowerSchool ha il potenziale per essere una delle più grandi violazioni dell'anno.
PowerSchool, che fornisce software per la K-12 a più di 18.000 scuole per supportare circa 60 milioni di studenti in Nord America, ha confermato la violazione all'inizio di gennaio. L'azienda con sede in California, acquisita da Bain Capital per $5.6 miliardi nel 2024, ha dichiarato che i pirati informatici hanno utilizzato credenziali compromesse per violare il loro portale di supporto clienti, consentendo ulteriore accesso al sistema informativo scolastico dell'azienda, PowerSchool SIS, che le scuole utilizzano per gestire i record degli studenti, i voti, la presenza e l'iscrizione.
"Il 28 dicembre 2024, siamo venuti a conoscenza di un potenziale incidente di sicurezza informatica che coinvolgeva l'accesso non autorizzato a determinate informazioni di PowerSchool SIS attraverso uno dei nostri portali clienti orientati alla comunità, PowerSource," ha detto la portavoce di PowerSchool Beth Keebler a TechCrunch.
PowerSchool è stata aperta su alcuni aspetti della violazione. Keebler ha detto a TechCrunch che il portale PowerSource, ad esempio, non supportava l'autenticazione a due fattori al momento dell'incidente, mentre PowerSchool sì. Ma rimangono numerose domande importanti senza risposta.
TechCrunch ha inviato a PowerSchool un elenco di domande in sospeso sull'incidente, che potrebbe avere un impatto su milioni di studenti negli Stati Uniti. Keebler ha rifiutato di rispondere alle nostre domande, dicendo che tutti gli aggiornamenti relativi alla violazione sarebbero stati pubblicati sulla pagina degli incidenti dell'azienda. Il 29 gennaio, l'azienda ha detto di aver iniziato a notificare gli individui colpiti dalla violazione e i regolatori statali.
PowerSchool ha detto ai clienti che avrebbe condiviso entro metà gennaio un rapporto sull'incidente della società di sicurezza informatica CrowdStrike, assunta dalla società per indagare sulla violazione. Ma diverse fonti che lavorano nelle scuole colpite dalla violazione hanno detto a TechCrunch di non averlo ancora ricevuto.
Anche i clienti dell'azienda hanno molte domande senza risposta, costringendo coloro che sono stati colpiti dalla violazione a lavorare insieme per investigare sull'hack.
Ecco alcune delle domande che rimangono senza risposta.
Non si sa quanti scuole o studenti sono stati coinvolti.
TechCrunch ha sentito parlare da scuole colpite dalla violazione di PowerSchool che la sua portata potrebbe essere "massiccia". Tuttavia, PowerSchool ha ripetutamente rifiutato di dire quanti istituti scolastici e individui sono stati coinvolti nonostante abbia detto a TechCrunch che aveva "identificato le scuole e i distretti i cui dati sono stati coinvolti in questo incidente".
Bleeping Computer, citando diverse fonti, riporta che l'hacker responsabile della violazione di PowerSchool avrebbe presumibilmente accesso ai dati personali di oltre 62 milioni di studenti e 9,5 milioni di insegnanti. PowerSchool ha ripetutamente rifiutato di confermare se questo numero fosse accurato.
Le comunicazioni dei distretti scolastici violati danno un'idea generale delle dimensioni della violazione. Il Toronto District School Board (TDSB), il più grande consiglio scolastico del Canada che serve circa 240.000 studenti ogni anno, ha detto che l'hacker potrebbe avere accesso ai dati di circa 40 anni di studenti, con i dati di quasi 1,5 milioni di studenti presi nella violazione. Allo stesso modo, il Menlo Park City School District della California ha confermato che l'hacker ha avuto accesso alle informazioni su tutti gli studenti e il personale attuale - rispettivamente circa 2.700 studenti e 400 membri del personale - nonché agli studenti e al personale risalenti all'inizio dell'anno scolastico 2009-10.
Non sappiamo ancora quali tipi di dati siano stati rubati.
Non solo non sappiamo quanti sono stati colpiti, ma non sappiamo nemmeno quanti o quali tipi di dati sono stati accessi durante la violazione.
In una comunicazione condivisa con i clienti all'inizio di gennaio, vista da TechCrunch, l'azienda ha confermato che l'hacker ha rubato "informazioni personali sensibili" su studenti e insegnanti, inclusi voti degli studenti, presenze e dati demografici degli studenti. La pagina degli incidenti dell'azienda afferma anche che i dati rubati potrebbero includere numeri di previdenza sociale e dati medici, ma dice che "a causa delle differenze nei requisiti dei clienti, le informazioni esfiltrate per ogni individuo variavano tra i nostri clienti".
TechCrunch ha anche sentito da diverse scuole colpite dall'incidente che "tutti" i dati storici degli studenti e degli insegnanti sono stati compromessi.
Una persona che lavora in un distretto scolastico colpito ha detto a TechCrunch che i dati rubati includono informazioni estremamente sensibili sugli studenti, inclusi informazioni sui diritti di accesso dei genitori ai propri figli, compresi i divieti di avvicinamento, e informazioni su quando alcuni studenti devono prendere le loro medicine.
Una fonte che parla con TechCrunch a febbraio ha rivelato che PowerSchool ha fornito alle scuole colpite uno strumento 'SIS Self Service' che può interrogare e riassumere i dati dei clienti di PowerSchool per mostrare quali dati sono memorizzati nei loro sistemi. Tuttavia, PowerSchool ha detto alle scuole colpite che lo strumento "potrebbe non riflettere precisamente i dati esfiltrati al momento dell'incidente".
Non si sa se PowerSchool disponga dei propri mezzi tecnici, come i log, per determinare quali tipi di dati furono rubati da specifici distretti scolastici.
PowerSchool non ha detto quanto ha pagato all'hacker responsabile della violazione.
PowerSchool ha detto a TechCrunch che l'organizzazione ha preso "misure appropriate" per impedire che i dati rubati fossero pubblicati. Nella comunicazione condivisa con i clienti, l'azienda ha confermato di aver lavorato con una società di risposta agli incidenti di estorsione informatica per negoziare con gli attori minacciosi responsabili della violazione.
Tutto ciò conferma praticamente che PowerSchool ha pagato un riscatto agli attaccanti che hanno violato i suoi sistemi. Tuttavia, quando TechCrunch ha chiesto all'azienda, ha rifiutato di dire quanto abbia pagato o quanto ha chiesto l'hacker.
Non sappiamo quali prove PowerSchool abbia ricevuto che i dati rubati siano stati cancellati.
La portavoce di PowerSchool, Keebler, ha detto a TechCrunch che l'azienda "non prevede che i dati vengano condivisi o resi pubblici" e che "crede che i dati siano stati cancellati senza ulteriore replicazione o diffusione".
Tuttavia, l'azienda ha ripetutamente rifiutato di dire quali prove abbia ricevuto per suggerire che i dati rubati siano stati cancellati. Le prime relazioni dicevano che l'azienda aveva ricevuto prove video, ma PowerSchool non avrebbe confermato o smentito quando TechCrunch ha chiesto.
Anche allora, la prova della cancellazione non è neanche garanzia che l'hacker non sia ancora in possesso dei dati; la recente eliminazione della gang di ransomware LockBit nel Regno Unito ha portato alla luce prove che la gang aveva ancora dati appartenenti a vittime che avevano pagato una richiesta di riscatto.
Non sappiamo ancora chi sia stato dietro l'attacco.
Uno dei più grandi misteri sull'attacco informatico di PowerSchool è chi ne sia stato responsabile. L'azienda è stata in comunicazione con l'hacker ma ha rifiutato di rivelarne l'identità, se nota. CyberSteward, l'organizzazione canadese di risposta agli incidenti con cui PowerSchool ha collaborato per negoziare, non ha risposto alle domande di TechCrunch.
I risultati dell'indagine di CrowdStrike rimangono un mistero.
PowerSchool sta lavorando con la società di risposta agli incidenti CrowdStrike per investigare sulla violazione. Ai clienti di PowerSchool è stato detto che le conclusioni della società di sicurezza sarebbero state pubblicate il 17 gennaio. Tuttavia, il rapporto deve ancora essere pubblicato e i distretti scolastici interessati hanno detto a TechCrunch che non hanno ancora visto il rapporto. CrowdStrike ha rifiutato di commentare quando TechCrunch ha chiesto.
CrowdStrike ha rilasciato un rapporto provvisorio a gennaio, che TechCrunch ha visto, ma non contenente nuovi dettagli sulla violazione.
Hai maggiori informazioni sulla violazione dei dati di PowerSchool? Saremmo lieti di sentirti. Da un dispositivo non lavorativo, puoi contattare Carly Page in modo sicuro su Signal al +44 1536 853968 o via email all'indirizzo carly.page@techcrunch.com.
