Le géant des logiciels éducatifs PowerSchool a confirmé avoir subi un incident de cybersécurité qui a permis à un acteur menaçant de voler les informations personnelles des élèves et des enseignants des districts scolaires à l’aide de sa plate-forme PowerSchool SIS.
PowerSchool est un fournisseur de solutions logicielles basées sur le cloud pour les écoles et les districts de la maternelle à la 12e année qui prend en charge plus de 60 millions d’élèves et plus de 18 000 clients dans le monde entier. La société offre une gamme complète de services pour aider les districts scolaires à fonctionner, y compris des plateformes pour l’inscription, la communication, la fréquentation, la gestion du personnel, les systèmes d’apprentissage, l’analyse et la finance.
Alors que les produits de l’entreprise sont principalement connus des districts scolaires et de leur personnel, PowerSchool exploite également Naviance, une plate-forme utilisée par de nombreux districts de la maternelle à la 12e année aux États-Unis pour offrir aux étudiants des outils personnalisés de planification des études collégiales, de carrière et de préparation à la vie.
Ciblé dans les attaques de vol de données
Dans une notification d’incident de cybersécurité envoyée aux clients mardi après-midi et obtenue par Breachtrace, PowerSchool indique qu’ils ont pris connaissance de la violation pour la première fois le 28 décembre 2024, après que les informations client PowerSchool SIS aient été volées via sa plate-forme de support client PowerSource.
PowerSchool SIS est un système d’information sur les élèves (SIS) utilisé pour gérer les dossiers des élèves, les notes, les présences, les inscriptions, etc.
« En tant que point de contact principal pour votre district scolaire, nous vous contactons pour vous informer que le 28 décembre 2024, PowerSchool a pris connaissance d’un incident potentiel de cybersécurité impliquant un accès non autorisé à certaines informations via l’un de nos portails de support client axés sur la communauté, PowerSource », lit une notification partagée avec Breachtrace.
Après avoir enquêté sur l’incident, il a été déterminé que l’auteur de la menace avait accédé au portail à l’aide d’informations d’identification compromises et avait volé des données à l’aide d’un outil d’assistance client « export data manager ».
« La partie non autorisée a pu utiliser un identifiant compromis pour accéder à l’un de nos portails de support client axés sur la communauté appelé PowerSource », a déclaré PowerSchool à Breachtrace dans un communiqué.
« PowerSource contient un outil d’accès à la maintenance qui permet aux ingénieurs de PowerSchool d’accéder aux instances SIS des clients pour une assistance continue et pour résoudre les problèmes de performances. »
À l’aide de cet outil, l’attaquant a exporté les tables de base de données « Étudiants » et « Enseignants » de PowerSchool SIS vers un fichier CSV, qui a ensuite été volé.
PowerSchool a confirmé que les données volées contiennent principalement des coordonnées telles que des noms et des adresses. Cependant, pour certains districts, il peut également inclure des numéros de sécurité sociale (SSN), des informations personnelles identifiables (PII), des informations médicales et des notes.
Un porte-parole de PowerSchool a déclaré à Breachtrace que les tickets clients, les informations d’identification des clients ou les données du forum n’avaient pas été exposés ou exfiltrés lors de la violation.
La société a également souligné que tous les clients de PowerSchool SIS n’étaient pas touchés et qu’elle prévoyait que seul un sous-ensemble de clients devrait émettre des notifications.
En réponse à l’incident, l’entreprise a fait appel à des experts tiers en cybersécurité, y compris CrowdStrike, pour enquêter et atténuer l’incident.
Cela inclut la rotation des mots de passe pour tous les comptes du portail d’assistance client PowerSource et la mise en œuvre de stratégies de mot de passe plus strictes.
Dans une FAQ exceptionnellement transparente uniquement accessible aux clients, PowerSchool a également confirmé qu’il ne s’agissait pas d’une attaque par ransomware, mais qu’ils avaient payé une rançon pour empêcher la publication des données.
« PowerSchool a fait appel aux services de CyberSteward, un conseiller professionnel ayant une grande expérience de la négociation avec les acteurs de la menace », lit-on dans une FAQ consultée par Breachtrace.
« Avec leurs conseils, PowerSchool a reçu des assurances raisonnables de la part de l’auteur de la menace que les données ont été supprimées et qu’il n’existe aucune copie supplémentaire. »
Lorsqu’on lui a demandé combien avait été payé aux acteurs de la menace, Breachtrace a répondu: « Compte tenu de la nature sensible de notre enquête, nous ne sommes pas en mesure de fournir des informations sur certains détails. »
Bien que la société ait déclaré avoir reçu une vidéo montrant que les données avaient été supprimées, comme pour toutes les attaques d’extorsion de données, il n’y a jamais de garantie à cent pour cent que c’était le cas.
La société surveille désormais en permanence le Dark Web pour déterminer si les données ont été divulguées ou le seront à l’avenir.
Pour les personnes touchées, PowerSchool offre des services de surveillance du crédit aux adultes touchés et des services de protection de l’identité pour les mineurs touchés.
PowerSchool affirme que ses opérations ne sont pas affectées et que les services se poursuivent comme d’habitude malgré la violation.
L’entreprise informe maintenant les districts scolaires touchés et fournira un ensemble de communications comprenant des courriels de sensibilisation, des points de discussion et des FAQ pour aider à informer les enseignants et les familles de l’incident.
Déterminer si votre impact
Dans un fil Reddit sur l’incident, le personnel informatique du district scolaire a déclaré que les clients pouvaient détecter si des données avaient été volées en vérifiant si un utilisateur de maintenance nommé « 200A0 » était répertorié dans les fichiers ps-log-audit.
« Vous pouvez corréler l’accès au journal d’audit avec les exportations de données de masse par heure dans les journaux de données de masse », a conseillé un client PowerSchool SIS.
Un autre client a partagé que ses journaux montraient les tables des élèves et des enseignants en cours d’exportation le 22 décembre 2024.
« Oh génial, j’ai des journaux du 22/12 pour Students_export.csv et Enseignants_export.csv à partir d’une adresse IP ukrainienne », a déclaré un autre client.
Breachtrace a appris que l’entreprise fournira également des guides détaillés aux clients pour vérifier s’ils ont été touchés et déterminer ce qui a été téléchargé.
L’enquête est en cours et la société de cybersécurité CrowdStrike devrait publier un rapport finalisé d’ici le 17 janvier 2025.
PowerSchool affirme qu’elle s’est engagée à faire preuve de transparence et qu’elle partagera le rapport avec les districts scolaires concernés lorsqu’il sera prêt.