Le pirate informatique qui a violé le géant de la technologie de l’éducation PowerSchool a affirmé dans une demande d’extorsion avoir volé les données personnelles de 62,4 millions d’élèves et de 9,5 millions d’enseignants.
PowerSchool est un fournisseur de solutions logicielles basées sur le cloud pour les écoles et les districts de la maternelle à la 12e année qui fournit des outils pour l’inscription, la communication, la fréquentation, la gestion du personnel, les systèmes d’apprentissage, l’analyse et la finance.
Le 7 janvier, PowerSchool a révélé avoir subi une cyberattaque après qu’un acteur de la menace a utilisé des informations d’identification volées pour accéder au portail de support client PowerSource de l’entreprise.
En utilisant cet accès, l’auteur de la menace a utilisé un outil d’accès de maintenance du support client pour télécharger les données des élèves et des enseignants à partir des bases de données PowerSIS des districts.
Comme signalé pour la première fois et vu par Breachtrace , une FAQ indiquait que des informations sensibles, telles que des numéros de sécurité sociale, des informations médicales et des notes, avaient été volées pour un sous-ensemble d’étudiants touchés par la violation.
Cette FAQ indiquait également que PowerSchool avait payé une rançon pour empêcher la fuite privée des données volées, voyant une vidéo de l’acteur menaçant prétendant supprimer les données.
Bien que la société ait fait preuve de plus de transparence dans la FAQ des clients privés que dans d’autres divulgations de sécurité, elle n’a toujours pas fourni de chiffres précis sur le nombre d’élèves et d’enseignants touchés par la violation, frustrant les parents, les enseignants et les administrateurs scolaires qui ont parlé à Breachtrace .
Cependant, Breachtrace a reçu des informations qui éclairent davantage l’impact de cette violation.
Plus de 62 millions d’étudiants touchés
Selon plusieurs sources, l’acteur menaçant à l’origine de l’attaque de PowerSchool a affirmé avoir volé les données de 6 505 districts scolaires aux États-Unis, au Canada et dans d’autres pays dans le cadre d’une demande d’extorsion à l’entreprise.
Au total, Breachtrace a appris que la violation de données PowerSchool avait touché 62 488 628 élèves et 9 506 624 enseignants.
Dans les informations vues par Breachtrace , les plus grands districts prétendument touchés par la violation de PowerSchool sont:
| Nom du District | Étudiants Touchés | Enseignants Touchés |
|---|---|---|
| Toronto District School Board | 1,484,733 | 90,023 |
| Peel District School Board | 943,082 | 39,693 |
| Dallas Independent School District | 787,212 | 79,718 |
| Calgary Board of Education | 593,518 | 133,677 |
| Memphis-Shelby County School | 485,087 | 54,501 |
| San Diego Unified | 472,278 | Possibly not stolen |
| Charlotte-Mecklenburg Schools | 467,974 | 57,486 |
| Wake County Public School | 461,005 | 92,783 |
Il convient de noter que les effectifs des conseils scolaires canadiens ont tendance à être plus importants que ceux des districts scolaires américains, car les conseils régissent toutes les écoles d’une région spécifique du Canada.
Bien que PowerSchool ne commente pas les chiffres spécifiques car son enquête est toujours en cours, ils ont souligné à Breachtrace que le type de données exposées dans la violation de données varie d’un district à l’autre.
PowerSchool dit que les districts scolaires décident quelles informations sont stockées dans la base de données SIS en fonction des exigences de leur district ou de leur politique d’État. Pour cette raison, on s’attend à ce que moins d’un quart des étudiants touchés aient vu leur numéro de sécurité sociale exposé dans la violation.
La société a également déclaré qu’elle avait à la fois des clients PowerSchool SIS basés sur le cloud et sur site. Pour les districts qui hébergent eux-mêmes leurs bases de données, l’examen des données est plus compliqué car ils exigent que le district partage des informations à des fins d’analyse.
En réponse aux questions sur nos rapports, PowerSchool a partagé la déclaration suivante avec Breachtrace .
« Nous comprenons que nous avons une très grande base de clients sur PowerSchool SIS, mais nous estimons qu’il est important de souligner que nous prévoyons que la majorité des personnes impliquées – en fait plus des trois quarts – n’ont pas eu de numéros de sécurité sociale exfiltrés. Nous recevons de nombreuses questions sur le type de données impliquées et il est difficile de faire des déclarations générales car la réponse varie d’un client à l’autre et dépend du choix du client et des politiques et exigences de l’État ou du district.
Nous nous soucions profondément des élèves, des enseignants et des familles que nous servons et nous nous engageons sans réserve à les soutenir. PowerSchool offrira deux ans de services gratuits de protection de l’identité et deux ans de services gratuits de surveillance du crédit à tous les étudiants et éducateurs concernés dont les informations étaient impliquées. Nous le faisons indépendamment du fait que le numéro de sécurité sociale d’un individu ait été exfiltré (c’est-à-dire que nous le faisons indépendamment du fait que nous y soyons tenus ou non par la réglementation). Nous ferons également des notifications au nom de nos clients aux bureaux des procureurs généraux des États, aux éducateurs, aux élèves, aux parents et aux autres parties prenantes concernées. Nous espérons sincèrement alléger le fardeau de ces notifications sur nos clients et leurs institutions. »
❖ École de puissance
PowerSchool dit qu’ils offriront 2 ans de services gratuits de protection de l’identité et de surveillance du crédit à tous les étudiants et éducateurs touchés.
La société enverra également des notifications de violation de données au nom des clients aux bureaux du procureur général de l’État et aux personnes touchées. Un calendrier quant au moment où cela se produira n’est pas clair.
De plus, PowerSchool a promis de publier un rapport d’incident basé sur les enquêtes de CrowdStrike le 17 janvier, mais cette date est passée sans qu’un rapport soit publié.
Lorsqu’on lui a demandé quand le rapport serait disponible, PowerSchool a déclaré que CrowdStrike travaillait toujours à finaliser le rapport médico-légal, qui sera mis à la disposition des clients une fois terminé.
Dans l’intervalle, PowerSchool a publié une mise à jour de sa FAQ réservée aux clients, indiquant que les clients peuvent recevoir une fiche d’information confidentielle CrowdStrike sur ce qui est connu jusqu’à présent.