現在才二月,但美國教育科技巨頭 PowerSchool 最近的駭客事件有可能成為今年最大的洩漏事件之一。
PowerSchool 提供 K-12 軟件給超過 18,000 所學校,在北美支援約 6000 萬學生,早在一月初便證實了此次洩漏事件。這家總部位於加利福尼亞的公司在 2024 年被 Bain Capital 收購,金額高達 56 億美元,表示駭客使用被入侵的憑證來進入其客戶支援門戶,進而進入該公司的學校信息系統 PowerSchool SIS,學校可用於管理學生記錄、成績、出勤和入學。
「在 2024 年 12 月 28 日,我們發現了潛在的涉及未經授權進入某些 PowerSchool SIS 信息的網絡安全事件,是透過我們其中一個以社區為重點的客戶門戶 PowerSource 來達成的,」PowerSchool 發言人貝絲 • 基布勒告訴 TechCrunch。
PowerSchool 在某些方面對這次事件公開,基布勒告訴 TechCrunch,例如 PowerSource 門戶當時不支援多因子認證,而 PowerSchool 則支援。但仍有一些重要問題沒有得到解答。
TechCrunch 發送了一份有關事件的未解答問題清單給 PowerSchool,這次事件可能影響到美國數百萬學生。基布勒拒絕回答我們的問題,表示所有與事件有關的更新將在公司的事件頁面上發佈。該公司在一月 29 日表示,已開始通知受影響的個人和州監管機構。
PowerSchool 告知客戶,將在一月中旬分享安全公司 CrowdStrike 的事件報告,這家公司被聘請調查事件。但一些受事件影響的學校的消息來源告訴 TechCrunch,他們尚未收到該報告。
該公司的客戶還有很多未解答的問題,迫使受影響的人一起調查此次駭客攻擊。
以下是一些仍未解答的問題。
目前未知有多少所學校或學生受到影響
TechCrunch 從受 PowerSchool 洩漏影響的學校聽到,其規模可能是「龐大」。但是,儘管 PowerSchool 告訴 TechCrunch,已「確定參與此次事件的學校和區域」,但其多次拒絕說明有多少所學校和個人受到影響。
Bleeping Computer,引述多個消息來源的報導,指稱負責 PowerSchool 洩漏的駭客涉及超過 6200 萬名學生和 950 萬名教師的個人數據。PowerSchool 多次拒絕證實這個數字是否準確。
儘管 PowerSchool 不會提供一個確切數字,但該公司最近向州檢察長提交的文件顯示,數百萬人的個人信息在洩漏中被竊取。例如,在提交給德克薩斯州檢察官的文件中,PowerSchool 確認近 800,000 位州居民的數據被盜。
遭受洩漏的學區的通訊提供了洩漏規模的一個大致概念。加拿大最大的學區多倫多教育局(TDSB)表示,駭客可能已經存取了大約 40 年的學生數據,涵蓋近 150 萬名學生在內。同樣,加利福尼亞州曼洛帕克市學區證實,駭客已經存取所有當前學生和教職員工的信息 — 分別約有 2,700 名學生和 400 名員工 — 以及追溯至 2009-10 學年的學生和教職員工信息。
我們仍不知道有哪些類型的數據被竊取
我們不僅不知道有多少人受到影響,還不知道在洩漏期間有多少數據或哪些類型的數據被存取。
根據 TechCrunch 看到的一份與客戶分享的一月初的通訊,該公司確認駭客竊取了學生和教師的「敏感個人信息」,包括學生成績、出勤和人口統計信息。該公司的事件頁面還說,被竊取的數據可能包括社會安全號碼和醫學數據,但表示「由於客戶要求的不同,個別個人被竊取的信息在我們的客戶基礎上有所不同」。
TechCrunch 也已經從多所受影響的學校得知,他們所有的歷史學生和教師數據都被竊取。
一位在受影響學區工作的人告訴 TechCrunch,被竊取的數據包括高度敏感的學生數據,包括有關父母訪問的信息,包括限制令,以及關於某些學生何時需要服藥的信息。
今年二月向 TechCrunch 披露,PowerSchool 為受影響學校提供了一個「SIS 自助服務」工具,可以查詢和總結 PowerSchool 客戶數據,顯示其系統中存儲的數據。但 PowerSchool 告訴受影響學校,這個工具「可能不精確反映事件發生時被竊取的數據」。
目前不清楚 PowerSchool 是否擁有自己的技術手段,比如日誌,來確定從特定學區竊取了哪些類型的數據。
PowerSchool 尚未透露支付給負責此次洩漏的駭客多少賠償金
PowerSchool 告訴 TechCrunch,組織已採取「適當措施」防止被竊取的數據被公開。在與客戶分享的通訊中,該公司確認,已聘請網絡勒索事件應對公司與負責此次洩漏的威脅行為者進行協商。
這幾乎證實 PowerSchool 向入侵其系統的攻擊者支付了贖金。但當 TechCrunch 詢問時,該公司拒絕透露支付了多少,或駭客要求了多少。
我們不知道 PowerSchool 收到了什麼證據表明被竊取的數據已被刪除
PowerSchool 的基布勒告訴 TechCrunch,該公司「預計數據不會被分享或公開」,並且「相信已被刪除的數據未被進一步複製或傳播」。
然而,該公司已多次拒絕說明其收到哪些證據表明被竊取的數據已被刪除。早期報導說,該公司收到了視頻證據,但當 TechCrunch 詢問時,PowerSchool 既不否認也不證實。
即便如此,刪除的證據絕不意味著駭客仍不擁有這些數據;英國最近打擊 LockBit 勒索軟件黑幫的行動揭示出,該黑幫仍擁有已支付贖金的受害者的數據。
尚不清楚誰是這次攻擊的幕後黑手
PowerSchool 網絡攻擊最大的未知之一是誰負責。該公司與駭客進行了溝通,但拒絕透露其身份,如果已知。PowerSchool 與之進行協商的加拿大事件應對組織 CyberSteward 並未回應 TechCrunch 的問題。
CrowdStrike 的調查結果仍是個謎
PowerSchool 正與事件應對公司 CrowdStrike 進行調查。PowerSchool 客戶被告知安全公司的調查結果將於 1 月 17 日公佈。然而,該報告尚未公佈,受影響學區告訴 TechCrunch,他們尚未看到該報告。TechCrunch 詢問時,CrowdStrike 拒絕置評。
CrowdStrike 在一月發佈了一份臨時報告,TechCrunch 已看到,但沒有關於洩漏的新細節。
關於 PowerSchool 數據泄漏事件,您是否有更多信息?我們希望聽到您的意見。您可以從非工作設備上安全地通過 Signal 聯繫 Carly Page,電話:+44 1536 853968,電子郵件:carly.page@techcrunch.com。
