O gigante do software educacional PowerSchool confirmou que sofreu um incidente de cibersegurança que permitiu a um ator de ameaças roubar informações pessoais de estudantes e professores de distritos escolares que utilizam a sua plataforma PowerSchool SIS.
PowerSchool é um provedor de soluções de software baseadas em nuvem para escolas e distritos do ensino fundamental e médio (K-12), apoiando mais de 60 milhões de estudantes e mais de 18.000 clientes em todo o mundo.
A empresa oferece uma gama completa de serviços para ajudar os distritos escolares a operar, incluindo plataformas para inscrição, comunicação, frequência, gestão de pessoal, sistemas de ensino, analíticos e financeiros.
Embora os produtos da empresa sejam principalmente conhecidos pelos distritos escolares e seu pessoal, a PowerSchool também opera o Naviance, uma plataforma usada por muitos distritos do K-12 nos EUA para oferecer ferramentas personalizadas de planejamento para faculdade, carreira e preparação para a vida aos estudantes.
Em uma notificação de incidente de cibersegurança enviada aos clientes na tarde de terça-feira(07), a PowerSchool informa que tomou conhecimento da violação em 28 de dezembro de 2024, após as informações dos clientes do PowerSchool SIS serem roubadas por meio de sua plataforma de suporte ao cliente PowerSource.
O PowerSchool SIS é um sistema de informação estudantil (SIS) usado para gerenciar registros estudantis, notas, frequência, inscrição e mais.
"Como principal ponto de contato para seu distrito escolar, estamos nos comunicando para informá-lo que em 28 de dezembro de 2024 a PowerSchool tomou conhecimento de um potencial incidente de cibersegurança envolvendo acesso não autorizado a certas informações por meio de um de nossos portais de suporte ao cliente focados na comunidade, PowerSource", lê-se em uma notificação compartilhada com a imprensa.
Após investigar o incidente, foi determinado que o ator de ameaças ganhou acesso ao portal usando credenciais comprometidas e roubou dados usando uma ferramenta de suporte ao cliente "export data manager".
"A parte não autorizada conseguiu usar uma credencial comprometida para acessar um de nossos portais de suporte ao cliente focados na comunidade chamado PowerSource," informou a PowerSchool em outro comunicado.
O PowerSource contém uma ferramenta de acesso de manutenção que permite aos engenheiros da PowerSchool acessar instâncias do SIS do Cliente para suporte contínuo e para solucionar problemas de desempenho.
Usando essa ferramenta, o atacante exportou as tabelas do banco de dados do PowerSchool SIS 'Estudantes' e 'Professores' para um arquivo CSV, que foi então roubado.
A PowerSchool confirmou que os dados roubados contêm principalmente detalhes de contato, como nomes e endereços.
No entanto, para alguns distritos, isso também pode incluir números de Seguro Social (SSN), informações pessoalmente identificáveis (PII), informações médicas e notas.
Um porta-voz da PowerSchool informou que tickets de clientes, credenciais de clientes ou dados de fórum não foram expostos ou exfiltrados na violação.
A empresa também enfatizou que nem todos os clientes do PowerSchool SIS foram impactados e que antecipam que apenas um subconjunto de clientes terá que emitir notificações.
Como resposta ao incidente, a empresa se engajou com especialistas em cibersegurança de terceiros, incluindo a CrowdStrike, para investigar e mitigar o incidente.
Isso inclui a rotação das senhas para todas as contas do portal de suporte ao cliente PowerSource e a implementação de políticas de senha mais rigorosas.
Em um FAQ surpreendentemente transparente, acessível apenas aos clientes, a PowerSchool também confirmou que este não foi um ataque de ransomware, mas que pagou um resgate para evitar que os dados fossem divulgados.
"A PowerSchool contratou os serviços da CyberSteward, um conselheiro profissional com ampla experiência em negociação com atores de ameaças," lê-se em um FAQ.
Com a orientação deles, a PowerSchool recebeu garantias razoáveis do ator de ameaças de que os dados foram excluídos e que não existem cópias adicionais.
Embora a empresa tenha dito que recebeu um vídeo mostrando que os dados foram excluídos, como em todos os ataques de extorsão de dados, nunca há uma garantia de cem por cento que isso foi feito.
A empresa está agora monitorando continuamente a dark web para determinar se os dados foram vazados ou serão vazados no futuro.
Para os impactados, a PowerSchool está oferecendo serviços de monitoramento de crédito para adultos impactados e serviços de proteção de identidade para menores impactados.
A PowerSchool diz que suas operações permanecem inafetadas, e os serviços continuam como de costume, apesar da violação.
A empresa está agora notificando os distritos escolares impactados e fornecerá um pacote de comunicação que inclui emails de divulgação, pontos de fala e FAQs para ajudar a informar professores e famílias sobre o incidente.
Em um tópico no Reddit sobre o incidente, o pessoal de TI do distrito escolar disse que os clientes podem detectar se os dados foram roubados verificando se um usuário de manutenção chamado "200A0" está listado nos arquivos de ps-log-audit.
"Você pode correlacionar o acesso do log de auditoria com as exportações de dados em massa pelo tempo nos logs de dados em massa," aconselhou um cliente do PowerSchool SIS.
Outro cliente compartilhou que seus logs mostraram as tabelas de Estudantes e Professores sendo exportadas em 22 de dezembro de 2024.
"Ótimo, tenho logs de 22/12 para Students_export.csv e Teachers_export.csv de um endereço IP ucraniano," declarou outro cliente.
A investigação está em andamento, com a empresa de cibersegurança CrowdStrike esperando liberar um relatório finalizado até 17 de janeiro de 2025.
A PowerSchool diz estar comprometida com a transparência e compartilhará o relatório com os distritos escolares afetados quando estiver pronto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...