虽然现在只是一月,但美国教育科技巨头PowerSchool最近的黑客袭击有可能成为今年最大的数据泄露事件之一。
PowerSchool为超过18,000所学校提供K-12软件,支持美国约6000万学生,公司在一月初确认了此次黑客袭击。总部位于加利福尼亚的公司在2024年被贝恩资本以56亿美元收购,公司表示黑客利用被泄露的凭证侵入了其客户支持门户,从而进一步访问了公司的学校信息系统PowerSchool SIS,学校使用该系统来管理学生记录、成绩、出勤和入学情况。
“2024年12月28日,我们发现潜在的网络安全事件,涉及对PowerSchool SIS信息的未经授权访问,路径是我们的PowerSource社区门户之一,”PowerSchool发言人贝丝·基布勒告诉TechCrunch。
PowerSchool在某些方面对此次袭击持开放态度。基布勒告诉TechCrunch说,例如在事件发生时,PowerSource门户不支持多因素身份验证,而PowerSchool支持。但仍有许多重要问题尚未得到解答。
本周,TechCrunch向PowerSchool发送了有关此次事件的一系列未解之谜,这可能会影响美国数百万学生。基布勒拒绝回答我们的问题,表示所有与袭击有关的更新将发布在公司的SIS事件页面上,该页面自1月17日以来未进行更新。
PowerSchool告诉客户将于1月17日分享网络安全公司CrowdStrike的一份事件报告,该公司受雇调查此次入侵行为。但多位受袭击学校的消息来源告诉TechCrunch,他们尚未收到报告。
公司的客户也提出了许多未解之谜的问题,迫使受影响的人们共同合作调查黑客入侵行为。
以下是一些未解之谜的问题。
不清楚有多少学校或学生受到影响
TechCrunch曾从受PowerSchool数据泄露影响的学校获悉,此次袭击影响可能是“巨大”的。然而,PowerSchool的事件页面中并未提及袭击的规模,公司也一再拒绝透露有多少学校和个人受到影响。
基布勒上周向TechCrunch发来的一份声明中说,PowerSchool已经“确定了在此次事件中涉及的学校和地区的数据”,但不会分享涉及方的名称。
然而,受影响的学区的沟通内容可以大致了解到袭击的规模。加拿大最大的学校董事会多伦多学区(TDSB)本周表示,黑客可能访问了大约40年的学生数据。同样,加利福尼亚门洛帕克市学区证实,黑客访问了所有当前学生和员工的信息(分别约有2,700名学生和400名员工),以及从2009-10学年开始的学生和员工的信息。
数据盗窃的规模也未知。PowerSchool也未透露在网络攻击中访问了多少数据,但在本月早些时候与其客户共享的一份通讯中,公司确认黑客窃取了涉及学生和教师的“敏感个人信息”,包括一些学生的社会安全号码、成绩、人口统计信息和医疗信息。TechCrunch还从受影响的多所学校那里得知,黑客访问了“所有”历史学生和教师数据。
一位在受影响学区工作的人告诉TechCrunch,被盗的数据中包括高度敏感的学生数据,包括家长访问自己孩子的权利的信息,包括限制令甚至某些学生需要服药的时间信息。
PowerSchool未透露支付给负责此次袭击的黑客多少赎金
PowerSchool告诉TechCrunch,组织已采取“适当措施”防止被盗数据被发布。在与客户共享的通讯中,该公司确认已与一家网络勒索事件应对公司合作,与负责此次袭击的威胁者进行了谈判。
这几乎证实了PowerSchool向入侵其系统的黑客支付了赎金。然而,当TechCrunch询问时,该公司拒绝透露支付了多少赎金,或者黑客要求多少。
我们不知道PowerSchool获得了何种证据表明被盗数据已被删除
在本月早些时候与TechCrunch分享的声明中,PowerSchool的基布勒表示,该组织“不预计数据会被分享或公开”,并且“相信数据已被删除,没有进一步复制或传播”。
然而,该公司一再拒绝透露他们已经收到何种证据表明被盗数据已被删除。早期的报道称,该公司收到了视频证据,但被TechCrunch询问时PowerSchool既不确认也不否认。
即便如此,删除证据并不意味着黑客仍不掌握该数据;英国最近击倒LockBit网络勒索团伙,揭露了该团伙仍拥有支付了赎金的受害者的数据的证据。
我们还不知道谁是幕后主使者
关于PowerSchool网络攻击的最大未解之谜之一是谁负有责任。该公司已与黑客进行了沟通,但拒绝透露他们的身份。PowerSchool合作进行谈判的加拿大事件响应组织CyberSteward未回应TechCrunch的问题。
您是否了解有关PowerSchool数据泄露的更多信息?我们很乐意收到您的信息。您可以通过Signal安全地与TechCrunch的Carly Page联系,电话号码是+44 1536 853968,电子邮件是carly.page@techcrunch.com。
