Le géant des logiciels éducatifs PowerSchool a commencé à informer les personnes aux États – Unis et au Canada dont les données personnelles ont été exposées lors d’une cyberattaque fin décembre 2024.
Bien qu’il s’agisse d’un pas en avant, l’entreprise n’a toujours pas officiellement divulgué le nombre exact de personnes touchées par l’incident de sécurité.
De plus, un rapport détaillé sur ce qui s’est exactement passé, attendu par CrowdStrike, qui est impliqué dans les enquêtes, continue d’être attendu.
La cyberattaque de la PowerSchool
PowerSchool est un fournisseur de logiciels de la maternelle à la 12e année basé sur le cloud qui dessert plus de 60 millions d’étudiants et 18 000 clients dans le monde entier, offrant des solutions d’inscription, de communication, de présence, de gestion du personnel, d’apprentissage, d’analyse et de finance.
En décembre, l’entreprise a subi une violation où des attaquants ont obtenu un accès non autorisé à l’un de ses portails de support client, PowerSource, et ont volé des données sensibles dans 6 505 districts scolaires.
Les données volées comprennent différents types d’informations par district, notamment les noms complets, les adresses physiques, les coordonnées, les numéros de sécurité sociale (SSN), les données médicales et les grades.
Bien que l’entreprise ait allégué que l’incident n’avait touché qu’un sous-ensemble de clients, un acteur de la menace a affirmé dans sa demande d’extorsion qu’il avait volé les données de 62 488 628 élèves et 9 506 624 enseignants, indiquant que la portée de la violation était pratiquement limitée.
Dans une mise à jour publiée hier sur le site Web de PowerSchool, la société a annoncé qu’elle avait commencé à informer les personnes touchées par la violation de données.
Cela inclut les étudiants actuels et anciens, le cas échéant, leurs parents et tuteurs, ainsi que les éducateurs aux États-Unis, au Canada et à l’étranger.
« PowerSchool a entamé le processus de dépôt des notifications réglementaires auprès des bureaux des procureurs généraux dans les juridictions américaines applicables au nom des clients concernés qui ne se sont pas désinscrits de notre offre de le faire », lit-on dans la mise à jour du statut.
« PowerSchool a également entamé le processus d’avis aux organismes de réglementation canadiens. Nous fournirons une mise à jour distincte à nos clients internationaux plus tard cette semaine. »
PowerSchool a déjà partagé un exemple de notification avec le bureau du procureur général du Maine, qui indique que 33 488 personnes ont été touchées dans cet État. Cependant, il n’inclut pas le nombre total de personnes touchées.
Selon le district scolaire, les notifications de violation de données alerteront les individus si leurs numéros de sécurité sociale et leurs informations médicales ont été volés, ce qui ne semble pas être le cas pour les résidents du Maine.
L’entreprise offre aux étudiants et aux enseignants touchés des services gratuits de protection contre le vol d’identité de deux ans et de surveillance du crédit pour les adultes.