Syarikat teknologi pendidikan PowerSchool memberitahu pelanggan bahawa ia mengalami 'kejadian keselamatan siber' yang membenarkan penjenayah mengompromi data peribadi pelajar dan guru dalam sekolah K-12 di seluruh Amerika Syarikat.
PowerSchool berpusat di California, yang telah dibeli oleh Bain Capital sebanyak $5.6 bilion pada tahun 2024, adalah pembekal perisian pendidikan berasaskan awan terbesar untuk pendidikan K-12 di Amerika Syarikat, melayani lebih daripada 75% pelajar di Amerika Utara, mengikut laman web syarikat tersebut. PowerSchool mengatakan perisian mereka digunakan oleh lebih daripada 16,000 pelanggan untuk menyokong lebih daripada 50 juta pelajar di Amerika Syarikat.
Dalam surat yang dihantar kepada pelanggan yang terjejas pada hari Selasa dan diterbitkan dalam laporan berita tempatan, PowerSchool mengatakan bahawa mereka mengenal pasti pada 28 Disember bahawa penjenayah berjaya merompak portal sokongan pelanggan PowerSource mereka, membenarkan akses lebih lanjut ke sistem maklumat sekolah syarikat tersebut, PowerSchool SIS, yang digunakan oleh sekolah untuk mengurus rekod pelajar, gred, kehadiran, dan pendaftaran. Surat tersebut mengatakan bahawa siasatan syarikat menunjukkan penjenayah mendapat akses 'menggunakan kelayakan yang dikompromi'.
PowerSchool tidak mengatakan jenis data yang diakses semasa kejadian atau berapa ramai individu yang terjejas oleh pecah amanah tersebut.
Jurucakap PowerSchool, Beth Keebler, mengesahkan kejadian itu dalam emel kepada TechCrunch tetapi enggan menjawab soalan tertentu tentang kejadian tersebut. Bain Capital telah memberi respons kepada soalan TechCrunch.
'Kami telah mengambil semua langkah yang sesuai untuk mencegah data yang terlibat dari akses atau penggunaan yang tidak sah lanjut,' kata Keebler. 'Kejadian itu terkawal dan kami tidak menjangkakan data itu dikongsi atau dibuat awam. PowerSchool tidak mengalami, dan tidak menjangka mengalami, sebarang gangguan operasi dan terus menyediakan perkhidmatan seperti biasa kepada pelanggan kami.'
Sifat serangan siber tersebut masih tidak diketahui. Bleeping Computer melaporkan bahawa dalam FAQ yang dihantar kepada pengguna yang terjejas, PowerSchool mengatakan bahawa mereka tidak mengalami serangan ransomware, tetapi syarikat itu diperas untuk membayar sejumlah wang untuk mencegah penjenayah daripada membocorkan data yang dicuri. PowerSchool memberitahu penerbitan bahawa nama dan alamat terdedah dalam kebocoran itu, tetapi maklumat tersebut juga mungkin termasuk nombor Social Security, maklumat perubatan, gred, dan maklumat peribadi lain. PowerSchool tidak mengatakan berapa jumlah yang dibayar syarikat itu.
PowerSchool telah didakwa melalui tindakan kelas pada November 2024, yang mendakwa syarikat itu menjual data pelajar secara haram tanpa kebenaran untuk keuntungan komersial. Mengikut saman itu, data pelajar syarikat itu mencapai sejumlah '345 terabyte data yang dikumpulkan dari 440 daerah sekolah.'
'PowerSchool mengumpul maklumat yang sangat sensitif ini di bawah bayang-bayang sokongan pendidikan, tetapi sebenarnya mengumpulkannya untuk keuntungan komersial sendiri,' sambil menyembunyikan diri di belakang 'terma perkhidmatan yang kabur sedemikian rupa bahawa tiada sesiapa yang boleh faham,' dakwaan saman itu.
Dikemas kini dengan komen daripada PowerSchool.
Adakah anda mempunyai maklumat lanjut mengenai kebocoran data PowerSchool? Kami ingin mendengarnya. Dari peranti bukan-kerja, anda boleh menghubungi Carly Page secara selamat di Signal di +44 1536 853968 atau melalui emel di carly.page@techcrunch.com.
