教育技術大手のパワースクールに侵入したハッカーは、6240万人の生徒と950万人の教師の個人データを盗んだと恐喝要求で主張した。
PowerSchoolは、幼稚園から高校までの学校と地区向けのクラウドベースのソフトウェア・ソリューション・プロバイダーで、入学、コミュニケーション、出席、職員管理、学習システム、分析、財務のためのツールを提供している。
1月7日、PowerSchoolは、脅威者が盗んだ認証情報を使って同社のPowerSourceカスタマー・サポート・ポータルにアクセスし、サイバー攻撃を受けたことを明らかにした。
このアクセスを使って、脅威者はカスタマーサポートのメンテナンス・アクセス・ツールを利用し、地区のPowerSISデータベースから生徒と教師のデータをダウンロードしました。
で最初に報告され、確認されたように、FAQは、社会保障番号、医療情報、成績などの機密情報が、侵害の影響を受けた生徒の一部について盗まれたと述べています。
このFAQはまた、PowerSchoolが盗まれたデータが個人的に流出するのを防ぐために身代金を支払い、脅威行為者がデータを削除すると主張するビデオを見ていると述べている。
同社は個人顧客向けFAQで、他のセキュリティ情報開示よりも透明性を示したが、それでも、何人の生徒や教師が情報漏洩の影響を受けたのか、具体的な数字を提示していない。
しかし、この情報漏えいの影響について、より詳しい情報を入手した。
6200万人以上の生徒に影響
複数の情報源によると、PowerSchool攻撃の背後にある脅威の行為者は、同社への恐喝要求で、米国、カナダ、および他の国の6,505学区のデータを盗んだと主張した。
合計で、PowerSchoolのデータ侵害は62,488,628人の生徒と9,506,624人の教師に影響を与えたと言われた。
パワースクールの情報漏えいの影響を受けたとされる最大の地区は以下の通り:
table { width: 100%; border-collapse: collapse; margin: 20px 0; font-family:Arial, sans-serif; } th, td { border:1px solid #ccc; padding:10px; text-align: left; } th { background-color:#} tr:nth-child(even) { background-color:#} tr:nth-child(odd) { background-color:#} tr:nth-child(odd)
| 地区名 | 影響を受ける生徒 | 影響を受ける教師 |
|---|---|---|
| トロント地区教育委員会 | 1,484,733 | 90,023 |
| ピール地区教育委員会 | 943,082 | 39,693 |
| ダラス独立学区 | 787,212 | 79,718 |
| カルガリー教育委員会 | 593,518 | 133,677 |
| メンフィス・シェルビー郡学校 | 485,087 | 54,501 |
| サンディエゴ統一学校 | 472,278 | 盗難の可能性なし |
| シャーロット・メクレンバーグ校 | 467,974 | 57,486 |
| ウェイク郡公立学校 | 461,005 | 92,783 |
カナダの教育委員会は、カナダの特定地域のすべての学校を管轄しているため、米国の学区よりも数字が大きくなる傾向があることに留意すべきである。
PowerSchoolは、調査がまだ進行中であるため具体的な数字についてはコメントしなかったが、データ流出で流出したデータの種類は地区によって異なることを強調した。
PowerSchoolによると、SISデータベースにどのような情報を保存するかは、学区が地区または州の方針要件に基づいて決定するという。このため、今回の情報流出で社会保障番号が流出したのは、影響を受けた生徒の4分の1以下と見られている。
同社はまた、PowerSchool SISの顧客にはクラウドベースとオンプレミスの両方があると述べた。データベースをセルフホストしている地区では、分析のために情報を共有する必要があるため、データの見直しはより複雑になる。
我々の報告に関する質問に対し、PowerSchoolは以下の声明を.
「私たちは、PowerSchool SIS の顧客基盤が非常に大きいことを理解しています。しかし、私たちは、関係する個人の大半(実際には4分の3以上)が社会保障番号を流出させられていないと予想していることを強調することが重要だと感じています。私たちは、どのような種類のデータが関与していたのかについて多くの質問を受けていますが、その答えは個々の顧客によって異なり、顧客の選択、州や地区の方針や要件に依存するため、大雑把に述べることは困難です。
私たちは、私たちがサービスを提供する生徒、教師、家庭を深く大切にし、心から彼らをサポートすることを約束します。PowerSchool は、情報が流出したすべての該当する生徒と教育関係者に対し、2年間の無料個人情報保護サービスと2年間の無料クレジット・モニタリング・サービスを提供します。これは、個人の社会保障番号が流出したかどうかに関係なく行います(つまり、規則で義務付けられているかどうかに関係なく行います)。また、州弁護士事務所、教育関係者、学生、保護者、その他影響を受ける関係者に対しても、顧客に代わって通知を行う予定です。私たちは、このような通知による顧客とその教育機関の負担を軽減したいと切に願っています。”
パワースクール
PowerSchoolによると、影響を受けたすべての生徒と教育関係者に対して、2年間の個人情報保護と信用監視サービスを無料で提供する。
同社はまた、顧客に代わって州司法長官事務所と影響を受けた人々にデータ侵害通知を送る。これがいつ行われるかは不明である。
さらに、PowerSchoolは1月17日にCrowdStrikeの調査に基づくインシデントレポートを公表すると約束したが、レポートが公表されないままその日を過ぎている。
報告書の公開はいつになるのかとの質問に対し、PowerSchoolは、CrowdStrikeはまだフォレンジック報告書の最終化に取り組んでおり、完成次第顧客に公開すると述べた。
この間、PowerSchoolは顧客専用のFAQにアップデートを掲載し、顧客はこれまでに判明していることに関する極秘のCrowdStrikeファクトシートを受け取ることができるとしている。
PowerSchoolはまた、影響を受けた人々が更なるアップデートを監視できる専用の公開ウェブサイトを立ち上げた。
Comments