ما لا تقوله PowerSchool عن الاختراق “الضخم” لبيانات الطلاب

نحن في شهر يناير فقط، ولكن الاختراق الأخير لشركة PowerSchool الأمريكية العملاقة في مجال تكنولوجيا التعليم من المحتمل أن يكون أحد أكبر الاختراقات هذا العام.

وأكدت PowerSchool، التي توفر برامج K-12 لأكثر من 18000 مدرسة لدعم حوالي 60 مليون طالب في الولايات المتحدة، الاختراق في أوائل يناير. قالت الشركة التي يقع مقرها في كاليفورنيا، والتي استحوذت عليها Bain Capital مقابل 5.6 مليار دولار في عام 2024، في ذلك الوقت إن المتسللين استخدموا بيانات اعتماد مخترقة لاختراق بوابة دعم العملاء الخاصة بها، مما يسمح بمزيد من الوصول إلى نظام المعلومات المدرسية الخاص بالشركة، PowerSchool SIS، والذي تستخدمه المدارس لإدارة سجلات الطلاب والدرجات والحضور والتسجيل.

وقالت بيث كيبلر، المتحدثة باسم PowerSchool، لـ TechCrunch: “في 28 ديسمبر 2024، أصبحنا على علم بحادث محتمل للأمن السيبراني يتضمن الوصول غير المصرح به إلى بعض معلومات PowerSchool SIS من خلال إحدى بوابات العملاء التي تركز على المجتمع، PowerSource”.

لقد كان PowerSchool منفتحًا بشأن جوانب معينة من الانتهاك. أخبر كيبلر موقع TechCrunch أن بوابة PowerSource، على سبيل المثال، فعلت ذلك لا دعم MFA في وقت وقوع الحادث، بينما قامت PowerSchool بذلك. لكن عددا من الأسئلة المهمة لا تزال دون إجابة.

هذا الأسبوع، أرسلت TechCrunch إلى PowerSchool قائمة بالأسئلة المعلقة حول الحادث، والذي من المحتمل أن يؤثر على ملايين الطلاب في الولايات المتحدة. ورفض كيبلر الإجابة على أسئلتنا، قائلاً إن جميع التحديثات المتعلقة بالانتهاك سيتم نشرها في حادثة SIS الخاصة بالشركة الصفحة التي لم يتم تحديثها منذ 17 يناير.

أخبرت PowerSchool العملاء أنها ستشارك تقرير الحادث من شركة CrowdStrike للأمن السيبراني، والتي استأجرتها الشركة للتحقيق في الاختراق، في 17 يناير. لكن العديد من المصادر التي تعمل في المدارس المتأثرة بالاختراق أخبرت TechCrunch أنهم لم يتلقوا التقرير بعد.

لدى عملاء الشركة أيضًا الكثير من الأسئلة التي لم تتم الإجابة عليها، مما يجبر المتأثرين بالاختراق على العمل معًا للتحقيق في الاختراق.

فيما يلي بعض الأسئلة التي لا تزال دون إجابة.

من غير المعروف عدد المدارس أو الطلاب المتأثرين

سمعت TechCrunch من المدارس المتضررة من اختراق PowerSchool أن التأثير قد يكون “ضخمًا”. ومع ذلك، فإن صفحة حادث PowerSchool لا تذكر حجم الانتهاك، وقد رفضت الشركة مرارًا وتكرارًا تحديد عدد المدارس والأفراد المتأثرين.

وفي بيان أرسل إلى TechCrunch الأسبوع الماضي، قال كيبلر إن PowerSchool “حددت المدارس والمناطق التي كانت بياناتها متورطة في هذا الحادث”، لكنها لن تشارك أسماء المتورطين.

ومع ذلك، فإن الاتصالات الواردة من المناطق التعليمية المتأثرة تعطي فكرة عامة عن حجم الانتهاك. قال مجلس مدارس مقاطعة تورونتو (TDSB)، وهو أكبر مجلس مدرسي في كندا والذي يخدم حوالي 240 ألف طالب كل عام، هذا الأسبوع إن المتسللين ربما تمكنوا من الوصول إلى بيانات الطلاب التي تعود إلى حوالي 40 عامًا. وبالمثل، أكدت منطقة مينلو بارك سيتي التعليمية في كاليفورنيا أن المتسللين تمكنوا من الوصول إلى معلومات عن جميع الطلاب والموظفين الحاليين – الذين يبلغ عددهم على التوالي حوالي 2700 طالب و400 موظف – بالإضافة إلى الطلاب والموظفين الذين يعود تاريخهم إلى بداية العام الدراسي 2009-2010.

حجم سرقة البيانات غير معروف أيضًا. لم تذكر PowerSchool أيضًا مقدار البيانات التي تم الوصول إليها أثناء الهجوم الإلكتروني، ولكن في رسالة تمت مشاركتها مع عملائها في وقت سابق من هذا الشهر، والتي شاهدتها TechCrunch، أكدت الشركة أن المتسللين سرقوا “معلومات شخصية حساسة” عن الطلاب والمعلمين، بما في ذلك بعض الطلاب. أرقام الضمان الاجتماعي والدرجات والتركيبة السكانية والمعلومات الطبية. سمعت TechCrunch أيضًا من العديد من المدارس المتضررة من الحادث أنه تم الوصول إلى “جميع” بيانات الطلاب والمعلمين التاريخية الخاصة بهم.

أخبر أحد الأشخاص الذين يعملون في منطقة مدرسية متأثرة موقع TechCrunch أن البيانات المسروقة تتضمن بيانات طلابية حساسة للغاية، بما في ذلك معلومات حول حقوق وصول الوالدين لأطفالهم، بما في ذلك الأوامر التقييدية، ومعلومات حول متى يحتاج بعض الطلاب إلى تناول أدويتهم.

لم تذكر PowerSchool المبلغ الذي دفعته للقراصنة المسؤولين عن الاختراق

أخبرت PowerSchool موقع TechCrunch أن المنظمة اتخذت “الخطوات المناسبة” لمنع نشر البيانات المسروقة. وفي الاتصالات التي تمت مشاركتها مع العملاء، أكدت الشركة أنها عملت مع شركة الاستجابة لحوادث الابتزاز السيبراني للتفاوض مع الجهات الفاعلة المسؤولة عن التهديد والانتهاك.

كل هذا يؤكد أن PowerSchool دفعت فدية للمهاجمين الذين انتهكوا أنظمتها. ومع ذلك، عندما سألتها TechCrunch، رفضت الشركة تحديد المبلغ الذي دفعته، ولا المبلغ الذي طلبه المتسللون.

لا نعرف ما هو الدليل الذي تلقته PowerSchool على حذف البيانات المسروقة

في بيان تمت مشاركته مع TechCrunch في وقت سابق من هذا الشهر، قال Keebler من PowerSchool إن المنظمة “لا تتوقع مشاركة البيانات أو نشرها للعامة” وأنها “تعتقد أن البيانات قد تم حذفها دون أي تكرار أو نشر آخر”.

ومع ذلك، رفضت الشركة مرارًا وتكرارًا الكشف عن الأدلة التي تلقتها والتي تشير إلى حذف البيانات المسروقة. ذكرت التقارير المبكرة أن الشركة تلقت دليلاً بالفيديو، لكن PowerSchool لم تؤكد أو تنفي عندما سألتها TechCrunch.

وحتى في هذه الحالة، فإن إثبات الحذف لا يضمن بأي حال من الأحوال أن المتسللين لا يزالون لا يملكون البيانات؛ كشفت عملية الإزالة الأخيرة التي قامت بها المملكة المتحدة لعصابة LockBit Ransomware عن أدلة على أن العصابة لا تزال تمتلك بيانات تخص الضحايا الذين دفعوا طلب فدية.

ولا نعرف حتى الآن من يقف وراء الهجوم

أحد أكبر الأمور المجهولة حول الهجوم الإلكتروني على PowerSchool هو من المسؤول. وكانت الشركة على اتصال مع المتسللين لكنها رفضت الكشف عن هوياتهم. لم تستجب CyberSteward، وهي منظمة الاستجابة للحوادث الكندية التي عملت PowerSchool معها للتفاوض، على أسئلة TechCrunch.

هل لديك المزيد من المعلومات حول خرق بيانات PowerSchool؟ نحن نحب أن نسمع منك. من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Carly Page بشكل آمن على Signal على الرقم +44 1536 853968 أو عبر البريد الإلكتروني على carly.page@techcrunch.com.