Hackers roubam “todos” os dados históricos de estudantes e professores em ataque à PowerSchool

Distritos escolares dos Estados Unidos, afetados pelo recente ataque cibernético à gigante de tecnologia educacional PowerSchool, informaram ao TechCrunch que hackers acessaram “todos” os dados históricos de estudantes e professores armazenados nos sistemas de informações estudantis da empresa.

A PowerSchool, cujo software de registro escolar atende mais de 60 milhões de estudantes em todo o país, foi alvo de uma invasão em dezembro. Credenciais roubadas comprometeram o portal de suporte ao cliente da empresa, permitindo acesso a grandes volumes de dados pessoais de estudantes e professores de escolas K-12. Até o momento, o ataque não foi atribuído a um hacker ou grupo específico.

A PowerSchool não revelou quantos de seus clientes escolares foram impactados. No entanto, duas fontes de distritos escolares afetados — que pediram anonimato — confirmaram que os hackers acessaram grandes quantidades de dados pessoais de estudantes e professores, tanto atuais quanto antigos.

“Em nosso caso, acabei de confirmar que eles acessaram todos os dados históricos de estudantes e professores”, disse uma pessoa de um distrito escolar afetado. A mesma fonte acrescentou que, embora a PowerSchool tenha informado que o acesso dos hackers ocorreu no final de dezembro, os logs do distrito mostram que os invasores tiveram acesso antes dessa data.

Outro representante, de um distrito escolar com quase 9.000 alunos, afirmou que os invasores acessaram “dados demográficos de todos os professores e estudantes, tanto ativos quanto históricos, desde que usamos o PowerSchool”. A mesma pessoa relatou que a PowerSchool não implementou proteções básicas, como autenticação multifator (MFA).

A porta-voz da PowerSchool, Beth Keebler, não contestou os relatos dos clientes, mas se recusou a discutir os controles de segurança da empresa, citando políticas internas. Ela confirmou que a PowerSchool utiliza MFA, mas não forneceu detalhes.

Vários distritos escolares divulgaram informações públicas sobre o impacto do ataque. O Distrito Escolar de Menlo Park City, outro afetado, confirmou que os hackers acessaram dados históricos de estudantes e funcionários desde o ano letivo de 2009-2010.

Keebler afirmou que a PowerSchool identificou os distritos cujos dados foram comprometidos, mas não divulgou publicamente os nomes dessas instituições. A empresa ainda está trabalhando para identificar indivíduos específicos cujas informações podem ter sido acessadas.

Mark Racine, diretor executivo da consultoria de tecnologia educacional RootED Solutions, destacou em um blog que o ataque pode ter afetado distritos escolares que eram antigos clientes da PowerSchool, ampliando o alcance do vazamento para além dos 18.000 clientes educacionais ativos da empresa. Racine também informou que alguns distritos estão relatando números de estudantes afetados até 10 vezes maiores que o total de alunos atualmente matriculados.

De acordo com um FAQ da PowerSchool, compartilhado com clientes, os dados roubados incluem nomes, endereços, números de previdência social, algumas informações médicas, notas escolares e outras informações pessoais de estudantes e professores.

O Distrito Escolar de Rancho Santa Fe, na Califórnia, uma das primeiras instituições a registrar uma notificação de violação de dados junto a reguladores estaduais, confirmou que os invasores também acessaram as credenciais dos professores para acessar o sistema PowerSchool.

Keebler explicou que o tipo de dados armazenados na plataforma SIS (Student Information System) e as políticas de retenção de dados históricos variam conforme os requisitos de cada cliente e estado. Apesar disso, ela disse que a maioria dos clientes provavelmente não teve números de previdência social ou informações médicas exfiltrados.

A PowerSchool afirmou ter tomado “medidas apropriadas” para impedir a publicação dos dados roubados e acredita que os mesmos foram deletados sem replicação ou disseminação adicional. No entanto, a empresa não especificou quais medidas foram adotadas nem apresentou evidências concretas de que os dados foram efetivamente excluídos.

Via - TC