Παραβίαση δεδομένων PowerSchool: Δεδομένα μαθητών από 1985 έως 2024 σε κίνδυνο

Το Σχολικό Συμβούλιο της Περιφέρειας του Τορόντο (TDSB) ανακοίνωσε ότι μια πρόσφατη παραβίαση της κυβερνοασφάλειας που επηρεάζει το PowerSchool ενδέχεται να έχει θέσει σε κίνδυνο τα προσωπικά στοιχεία των μαθητών από το 1985 έως το 2024. Η παραβίαση, που ανακαλύφθηκε στις 7 Ιανουαρίου, έχει προκαλέσει ανησυχία καθώς ενδέχεται να επηρεάσει ιατρικές πληροφορίες, αριθμούς καρτών υγείας και διευθύνσεις κατοικίας.

Η σχολική επιτροπή του Τορόντο αναφέρει παραβίαση της κυβερνοασφάλειας που επηρεάζει τα δεδομένα των μαθητών

Το PowerSchool χρησιμεύει ως μια πλατφόρμα που βασίζεται σε σύννεφο που χρησιμοποιείται από πολλές σχολικές επιτροπές για τη διατήρηση αρχείων μαθητών και προσωπικού. Σε μια επικοινωνία προς τους γονείς και τους κηδεμόνες, η προσωρινή διευθύντρια εκπαίδευσης Stacey Zucker εξήγησε ότι οι συγκεκριμένες λεπτομέρειες των παραβιασμένων δεδομένων ποικίλλουν ανάλογα με την περίοδο εγγραφής ενός μαθητή.

Το TDSB αναφέρθηκε ότι τα αρχεία για φοιτητές που εγγράφηκαν από τις 3 Σεπτεμβρίου 1985 έως τις 31 Αυγούστου 2017, ενδέχεται να περιλαμβάνουν ονόματα, ημερομηνίες γέννησης, φύλο, αριθμούς κάρτας υγείας, διευθύνσεις κατοικίας, αριθμούς τηλεφώνου και πρόσθετες πληροφορίες. Για μαθητές που παρακολούθησαν από τον Σεπτέμβριο του 2017 έως τις 28 Δεκεμβρίου 2024, οι πληροφορίες πρόσβασης μπορεί να περιλαμβάνουν ονόματα, ημερομηνίες γέννησης, φύλο, αριθμούς κάρτας υγείας, ιατρικά αρχεία όπως αλλεργίες, διευθύνσεις σπιτιού, αριθμούς τηλεφώνου, πληροφορίες κατοικίας, καθώς και γονέα, στοιχεία κηδεμόνα ή φροντιστή και στοιχεία επικοινωνίας έκτακτης ανάγκης.

Συγκεκριμένα, το TDSB επιβεβαίωσε ότι οι ιατρικές πληροφορίες που σχετίζονται με την ομάδα υπηρεσιών υποστήριξής του, η οποία περιλαμβάνει διάφορους επαγγελματίες υγείας, δεν επηρεάστηκαν από την παραβίαση. Καναδοί υπάλληλοι προστασίας προσωπικών δεδομένων ερευνούν αυτήν τη στιγμή το περιστατικό.

Σε απάντηση στην παραβίαση, το PowerSchool ανακοίνωσε ότι θα το κάνει προμηθεύω δωρεάν υπηρεσίες προστασίας ταυτότητας για δύο χρόνια σε όλους τους επηρεαζόμενους μαθητές και εκπαιδευτικούς, μαζί με δύο χρόνια παρακολούθησης μαθημάτων για ενήλικες φοιτητές και εκπαιδευτικούς, ανεξάρτητα από το εάν παραβιάστηκαν οι Αριθμοί Κοινωνικής Ασφάλισής τους. Το TDSB έχει διαβεβαιώσει ότι δεν αποθηκεύει Αριθμούς Κοινωνικών Ασφαλίσεων ή οικονομικά δεδομένα στο σύστημα PowerSchool, υποδεικνύοντας ότι αυτές οι πληροφορίες παραμένουν ασφαλείς.

«Το PowerSchool θα προσφέρει δύο χρόνια δωρεάν υπηρεσίες προστασίας ταυτότητας για όλους τους μαθητές και τους εκπαιδευτικούς των οποίων οι πληροφορίες εμπλέκονται και θα προσφέρει επίσης δύο χρόνια δωρεάν υπηρεσίες παρακολούθησης πιστωτικών μονάδων για όλους τους ενήλικες μαθητές και εκπαιδευτικούς των οποίων οι πληροφορίες εμπλέκονται. Το κάνουμε αυτό ανεξάρτητα από το αν ο Αριθμός Κοινωνικής Ασφάλισης ενός ατόμου είχε διεισδύσει».

-PowerSchool

Ο εκπρόσωπος του TDSB Ryan Bird δήλωσε ότι το PowerSchool έχει διαβεβαιώσει όλες τις σχολικές επιτροπές ότι τα παραβιασμένα δεδομένα έχουν διαγραφεί και δεν έχουν αποθηκευτεί αλλού. Ο Bird εξέφρασε τις συνεχείς ανησυχίες σχετικά με την παραβίαση και τόνισε τις προσπάθειες συνεργασίας με το PowerSchool για την ενίσχυση της ασφάλειας του συστήματος.

Σύμφωνα με TechCrunchη Romy Backus, διαχειριστής από το Αμερικανικό Σχολείο του Ντουμπάι, έλαβε μια ειδοποίηση από το PowerSchool σχετικά με την παραβίαση και έλαβε άμεσα μέτρα για να κατανοήσει τον αντίκτυπό της, καθώς η αρχική επικοινωνία δεν διευκρίνισε ποια δεδομένα είχαν παραβιαστεί. Ο Backus σημείωσε έλλειψη πληροφοριών που να μπορούν να ενεργήσουν, γεγονός που οδήγησε σε σύγχυση μεταξύ των διευθυντών του σχολείου που προσπαθούσαν να εξακριβώσουν την έκταση της παραβίασης. Οι διαχειριστές σε διάφορα επηρεαζόμενα σχολεία στράφηκαν ο ένας στον άλλο για καθοδήγηση, με αποτέλεσμα μια αξιοσημείωτη αύξηση της επικοινωνίας μεταξύ των χρηστών στο υπηρεσίες καταλόγου email.

Η Backus χρησιμοποίησε τις τεχνικές της γνώσεις για να εντοπίσει παραβιασμένα δεδομένα στο σχολείο της και στη συνέχεια δημιούργησε έναν περιεκτικό οδηγό για συναδέλφους διαχειριστές που περιγράφει λεπτομερώς τα μοτίβα παραβίασης και τα βήματα για έρευνα. Αυτός ο οδηγός κοινοποιήθηκε ευρέως σε φόρουμ χρηστών του PowerSchool, συγκεντρώνοντας χιλιάδες προβολές και έγινε ένας κρίσιμος πόρος για τα σχολεία που πλοηγούνται στον απόηχο της παραβίασης.

Ο Doug Levin, συνιδρυτής του K12 Security Information eXchange, σημείωσε τη σημασία μιας τέτοιας συνεργασίας εντός της εκπαιδευτικής κοινότητας, ιδιαίτερα κατά τη διάρκεια περιστατικών μεγάλης κλίμακας όπως η παραβίαση του PowerSchool, καθώς τα σχολεία συχνά δεν διαθέτουν ισχυρούς πόρους κυβερνοασφάλειας.

Η εκπρόσωπος του PowerSchool, Beth Keebler, αναγνώρισε το υποστηρικτικό περιβάλλον που καλλιεργείται μεταξύ των πελατών του, υπογραμμίζοντας τις προσπάθειες συνεργασίας κατά τη διάρκεια της κρίσης ασφαλείας.

Από την τελευταία ενημέρωση, το TDSB έχει διαβεβαιώσει τους σημερινούς και πρώην φοιτητές ότι δεν υπάρχει συνεχής μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.

Πίστωση επιλεγμένης εικόνας: PowerSchool