Es ist erst Januar, aber der kürzliche Hack des US-amerikanischen EdTech-Giganten PowerSchool hat das Potenzial, einer der größten Brüche des Jahres zu sein.
PowerSchool, das K-12-Software an mehr als 18.000 Schulen bereitstellt, um rund 60 Millionen Schüler in den Vereinigten Staaten zu unterstützen, bestätigte den Hack Anfang Januar. Das in Kalifornien ansässige Unternehmen, das Bain Capital 2024 für 5,6 Milliarden Dollar übernahm, sagte damals, dass Hacker kompromittierte Anmeldeinformationen verwendet haben, um sein Kundensupport-Portal zu hacken und weiteren Zugriff auf das schulische Informationssystem des Unternehmens, PowerSchool SIS, zu ermöglichen, das Schulen zur Verwaltung von Schülerdatensätzen, Noten, Anwesenheit und Einschreibung verwenden.
„Am 28. Dezember 2024 wurden wir auf einen möglichen Cyber-Sicherheitsvorfall aufmerksam, bei dem unbefugter Zugriff auf bestimmte PowerSchool SIS-Informationen über eines unserer gemeindespezifischen Kundenportale, PowerSource, erfolgte“, sagte PowerSchool-Sprecherin Beth Keebler gegenüber TechCrunch.
PowerSchool war offen in Bezug auf bestimmte Aspekte des Vorfalls. Keebler teilte TechCrunch mit, dass das PowerSource-Portal zum Beispiel zum Zeitpunkt des Vorfalls keine Multi-Faktor-Authentifizierung unterstützte, während PowerSchool dies tat. Es bleiben jedoch eine Reihe wichtiger Fragen unbeantwortet.
Diese Woche schickte TechCrunch PowerSchool eine Liste ausstehender Fragen zu dem Vorfall, der das Potenzial hat, Millionen von Schülern in den USA zu beeinflussen. Keebler lehnte es ab, unsere Fragen zu beantworten, und sagte, dass alle Updates im Zusammenhang mit dem Vorfall auf der SIS-Incident-Seite des Unternehmens veröffentlicht würden, die seit dem 17. Januar nicht aktualisiert wurde.
PowerSchool teilte den Kunden mit, dass sie am 17. Januar einen Vorfallbericht von der Cybersicherheitsfirma CrowdStrike erhalten würden, die das Unternehmen beauftragt hatte, den Vorfall zu untersuchen. Aber mehrere Quellen, die an Schulen beteiligt sind, die von dem Vorfall betroffen sind, teilten TechCrunch mit, dass sie ihn noch nicht erhalten haben.
Auch die Kunden des Unternehmens haben viele unbeantwortete Fragen, was die Betroffenen des Vorfalls dazu zwingt, zusammenzuarbeiten, um den Hack zu untersuchen.
Hier sind einige unbeantwortete Fragen.
Unbekannt ist, wie viele Schulen oder Schüler betroffen sind. TechCrunch erhielt Informationen von Schulen, die von dem PowerSchool-Vorfall betroffen sind, dass die Auswirkungen "massiv" sein könnten. Auf der Incident-Seite von PowerSchool wird jedoch nicht über das Ausmaß des Vorfalls gesprochen, und das Unternehmen hat wiederholt abgelehnt zu sagen, wie viele Schulen und Personen betroffen sind.
In einer Erklärung, die in der letzten Woche an TechCrunch gesendet wurde, sagte Keebler, dass PowerSchool „die Schulen und Bezirke identifiziert habe, deren Daten an diesem Vorfall beteiligt waren“, aber die Namen der Beteiligten nicht preisgeben werde.
Die Skala des Datenraubs ist ebenfalls unbekannt. PowerSchool hat auch nicht gesagt, wie viele Daten bei dem Cyberangriff abgerufen wurden, aber in einer Mitteilung, die Anfang dieses Monats seinen Kunden mitgeteilt wurde und von TechCrunch eingesehen wurde, bestätigte das Unternehmen, dass Hacker „sensible persönliche Informationen“ über Schüler und Lehrer gestohlen haben, darunter Sozialversicherungsnummern, Noten, demografische Daten und medizinische Informationen. TechCrunch hat auch von mehreren Schulen, die von dem Vorfall betroffen sind, gehört, dass „alle“ ihre historischen Schüler- und Lehrerdaten abgerufen wurden.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, teilte TechCrunch mit, dass die gestohlenen Daten hochsensible Schülerdaten enthalten, darunter Informationen über elterliche Zugriffsrechte auf ihre Kinder, einschließlich Rückhalteanordnungen, und Informationen darüber, wann bestimmte Schüler ihre Medikamente einnehmen müssen.
PowerSchool hat nicht gesagt, wie viel es den für den Vorfall verantwortlichen Hackern bezahlt hat. PowerSchool teilte TechCrunch mit, dass die Organisation „angemessene Schritte“ unternommen habe, um zu verhindern, dass die gestohlenen Daten veröffentlicht werden. In der Mitteilung an die Kunden bestätigte das Unternehmen, dass es mit einem Cyber-Erpressungs-IR-Unternehmen zusammengearbeitet hat, um mit den für den Vorfall verantwortlichen Bedrohungsakteuren zu verhandeln.
Dies bestätigt fast, dass PowerSchool ein Lösegeld an die Hacker gezahlt hat, die in seine Systeme eingebrochen sind. Das Unternehmen weigerte sich jedoch, auf die Frage von TechCrunch zu antworten, wie viel es bezahlt hat oder wie viel die Hacker gefordert haben.
Wir wissen nicht, welche Beweise PowerSchool erhalten hat, dass die gestohlenen Daten gelöscht wurden. In einer Mitteilung, die TechCrunch Anfang dieses Monats mit PowerSchools Keebler geteilt wurde, sagte die Organisation, dass sie nicht damit rechnet, dass die Daten geteilt oder öffentlich gemacht werden, und dass sie glaubt, dass die Daten gelöscht wurden, ohne dass sie weiter repliziert oder verbreitet wurden.
Das Unternehmen hat jedoch wiederholt abgelehnt zu sagen, welche Beweise es erhalten hat, dass die gestohlenen Daten gelöscht wurden. Frühe Berichte besagten, dass das Unternehmen einen Video-Beweis erhalten hat, aber PowerSchool wollte TechCrunch gegenüber weder bestätigen noch leugnen.
Selbst dann ist der Nachweis der Löschung keineswegs eine Garantie dafür, dass die Hacker nicht immer noch im Besitz der Daten sind; Die jüngste Aktion des Vereinigten Königreichs gegen die LockBit-Ransomware-Bande brachte Beweise ans Licht, dass die Bande immer noch im Besitz von Daten von Opfern war, die ein Lösegeld gezahlt hatten.
Wir wissen noch nicht, wer den Angriff verübt hat. Eines der größten Unbekannten bezüglich des PowerSchool-Cyberangriffs ist, wer dafür verantwortlich war. Das Unternehmen hat mit den Hackern kommuniziert, aber sich geweigert, ihre Identitäten preiszugeben. CyberSteward, die kanadische Notfallorganisation für Cybersicherheit, mit der PowerSchool zusammengearbeitet hat, um zu verhandeln, antwortete nicht auf die Fragen von TechCrunch.
Haben Sie weitere Informationen zum PowerSchool-Datenleck? Wir würden gerne von Ihnen hören. Von einem nicht beruflichen Gerät aus können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter carly.page@techcrunch.com kontaktieren.
