El gigante de EDTech de EE. UU. Powerschool ha comenzado a notificar a las personas afectadas por una violación de datos de diciembre de 2024 que probablemente afecta a millones de estudiantes y maestros en América del Norte.
PowerSchool dijo en una breve actualización el lunes que había comenzado el proceso de presentación de notificaciones regulatorias legalmente requeridas después de la violación, que vio a los atacantes usar una credencial de cuenta robada para acceder al portal de atención al cliente de la compañía para exfiltrar grandes cantidades de datos confidenciales de estudiantes y maestros. PowerSchool le dijo previamente a Tecno que la cuenta pirateada no estaba protegida con la autenticación multifactor.
PowerSchool, con sede en California, ya ha presentado una notificación de violación de datos ante el Fiscal General de Maine, lo que confirma que más de 33,000 residentes estatales se robaron datos durante la violación. Aunque la ley estatal de Maine generalmente requiere que las organizaciones revelen el número total de personas que se sabe que se ven afectadas por una violación, PowerSchool aún no ha revelado esta cifra.
Bleeping Computer, citando múltiples fuentes, informa que los piratas informáticos responsables de la violación de Powerschool supuestamente accedieron a los datos personales de más de 62 millones de estudiantes y 9.5 millones de maestros. PowerSchool dice en su sitio web que su tecnología es utilizada por más de 60 millones de estudiantes.
Cuando se le preguntó si la cifra reportada de 62 millones de estudiantes afectados por la violación es precisa, la portavoz de PowerSchool, Beth Keebler (a través de la firma de comunicaciones de crisis, FTI Consulting) le dijo a Tecno que la compañía «no puede confirmar» un número preciso de personas afectadas como el proceso de revisión de datos de la compañía. está en curso. PowerSchool agregó que la organización proporcionará actualizaciones a los fiscales generales estatales a medida que avanza su proceso, lo que sugiere que el número de residentes afectados de Maine puede ser más alto que la cifra de 33,000 informes hasta la fecha.
«Este es un proceso complicado porque la revisión de datos para los clientes locales requiere una colaboración adicional entre PowerSchool y esos clientes», dijo el portavoz de PowerSchool.
Millones de estudiantes ya confirmaron afectados
Muchas preguntas siguen sin respuesta sobre la violación de datos de PowerSchool: todavía no está claro quién fue responsable del ataque; qué evidencia supuestamente recibió que se eliminaron sus datos robados; o la cantidad que la compañía pagó en una demanda de rescate a los piratas informáticos. La falta de información sobre el incidente obligó a los distritos escolares afectados a trabajar juntos para investigar el impacto y la escala de la violación.
En una publicación en su página de incidentes, PowerSchool dice que aún no puede confirmar a qué tipos de datos confidenciales se accedió «porque la respuesta varía según el cliente individual y depende de las políticas y requisitos del distrito del cliente». Tecno ha escuchado de múltiples distritos escolares afectados por la violación de que se accedió «todos» de sus datos históricos almacenados en PowerSchool, incluidos datos confidenciales como información sobre los derechos de acceso de los padres a sus hijos.
La Junta Escolar del Distrito de Toronto (TSDB), que la semana pasada confirmó que los piratas informáticos habían accedido a casi 40 años de datos de estudiantes, es la organización peor afectada hasta ahora, con los datos de casi 1,5 millones de estudiantes tomados en la violación. En una carta a los padres, visto por Tecno, TDSB confirmó que los datos robados incluyen géneros, información de calificación, datos médicos y detalles de alojamiento.
Bleeping Computer también enumera la Junta de Educación de Calgary (CBE) entre los afectados por la violación, e informa que se tomaron los datos de más de 500,000 estudiantes. En un comunicado a Tecno, la portavoz de CBE, Joanne Anderson, dijo que la junta «no tiene confirmación de PowerSchool sobre el número de estudiantes y el personal afectados y los detalles de los datos tomados».
Los distritos escolares afectados también están notificando a aquellos cuyos datos fueron robados durante la violación de PowerSchool. El Distrito Escolar West Ada de Idaho, que tiene casi 40,000 estudiantes en las clases de K-12, dijo en una carta, vista por Tecno, que se accedió a la información personal que incluye la «información sobre la salud y la información de seguridad para los estudiantes actuales y anteriores».
Las Escuelas Públicas de Alexandria City en Virginia, que atiende a más de 16,000 estudiantes, también confirmó que los datos de los estudiantes se habían comprometido. En una carta enviada a los padres, el distrito dice que los piratas informáticos accedieron a la información personal de los estudiantes, los datos médicos y los estados de comidas gratuitas.
En una declaración en su sitio web, el Distrito Escolar de Rochester City ha confirmado que 134,000 estudiantes fueron afectados por la violación de PowerSchool. El distrito, que supervisa 46 escuelas en Nueva York, dijo que la información a la que se accede incluye alertas legales, diagnósticos médicos y afecciones.
