PowerSchool Siber Saldırısı, ABD Okullarında Milyonlarca Öğrenci Kaydını Tehlikeye Atıyor

Hackerlar, ABD’de 50 milyondan fazla öğrenciye hizmet veren bir eğitim teknolojileri şirketi olan PowerSchool’un sistemlerine sızdı.

Saldırı, ilk olarak Çarşamba günü TechCrunch tarafından bildirildiği gibi, birden fazla okul bölgesinden öğrenci ve öğretmenlerin geçmiş verilerini tehlikeye attı. Aralık ayında gerçekleşen bu saldırı, şirketin müşteri destek portalına sızarak hassas bilgileri açığa çıkaracak şekilde çalınan yetkilendirme bilgilerini kullandı.

Etkilenen okul bölgeleri, ihlalin geniş kapsamını ortaya koydu. Bir bölge, “tüm tarihsel öğrenci ve öğretmen verileri”nin erişildiğini doğrularken, yaklaşık 9.000 öğrencisi olan başka bir bölge, mevcut ve eski personel ile öğrencilere ait demografik verilerin tehlikeye girdiğini bildirdi, TechCrunch tarafından rapor edildi.

Bazı bölgeler, çok faktörlü kimlik doğrulamanın eksikliği gibi yetersiz güvenlik önlemlerini belirtti. PowerSchool, etkilenen okulların sayısını henüz açıklamadı, dedi TechCrunch.

Şirket sözcüsü Beth Keebler, etkilenen okulların ve bölgelerin belirlendiğini ancak isimlerini TechCrunch’a açıklamayı reddettiğini belirtti. Şirket, hangi kişilerin verilerine erişildiğini belirlemeye hâlâ devam ediyor ve çalınan verilerin silindiği iddiası için herhangi bir kanıt sunmadı.

TechCrunch, PowerSchool’un geçen hafta müşterileriyle paylaştığı bir SSS’ye göre, bu ihlal isimler, adresler, Sosyal Güvenlik numaraları, tıbbi bilgiler, notlar ve diğer kişisel ayrıntıları ifşa etti.

Ancak, Salı günü TechCrunch’a verdiği bir açıklamada, PowerSchool, etkilenen müşterilerin çoğunun hassas verilerinin tehlikeye girmediğini belirtti.

Ayrıca, TechCrunch, Kaliforniya’daki Menlo Park Şehir Okul Bölgesi’nin, 2009-2010 okul yılına ait verilerin erişildiğini doğruladığını bildiriyor. Başka bir Kaliforniya bölgesi olan Rancho Santa Fe Okul Bölgesi, öğretmenlerin giriş bilgilerinin de tehlikeye girdiğini açıkladı.

Eğitim teknolojisi danışmanlık firması RootED Solutions’ın CEO’su Mark Racine, uyarıda bulundu ve bu ihlalin, TechCrunch’ın belirttiği gibi, sadece PowerSchool’un 18,000 aktif müşterisini değil, aynı zamanda eski müşterilerini de etkilediğini söyledi.

Racine, bazı bölgelerde etkilenen öğrenci sayısının, uzun vadeli veri saklama durumunu yansıttığını ve şu anda kayıtlı öğrencilerden on kat daha fazla olduğunu belirtti.

PowerSchool’un güvenlik uygulamalarına yönelik eleştiriler arttı, bazı bölgeler şirketi temel korumaları ihmal etmekle suçluyor, bunu TechCrunch rapor etti.

PowerSchool, TechCrunch’a daha fazla olayı önlemek için önlemler aldığını belirtti, ancak yanıtını veya eylemlerinin etkinliğini ayrıntılı olarak açıklamadı.

Bir PowerSchool sözcüsü Newsweek‘a şunları söyledi: “Bu olayda verileri etkilenen okulları ve okul bölgelerini tespit ettik, onları doğrudan bilgilendirdik ve bir sonraki adımlar boyunca onlara destek olurken güncellemeler sağlayacağız.’’

“PowerSchool, müşterilerimiz adına kişisel bilgileri etkilenen kişilere bildirimde bulunmayı teklif edeceğimiz bir planı devreye sokma sürecindedir. Ayrıca, duruma bağlı olarak, kredi izleme veya kimlik koruma hizmetleri de sağlayacağız,” şeklinde ekledi sözcü.

Soruşturmalar devam ederken, etkilenen bölgeler, personel ve öğrencileri ihlal hakkında bilgilendirme adımları atıyor ve toplulukları için uzun vadeli sonuçları değerlendiriyorlar.