PowerSchool 黑客声称窃取了 6240 万学生的个人数据

入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。

PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。

1月7日，PowerSchool披露其遭受网络攻击，黑客利用盗取的凭证访问了该公司PowerSource客户支持门户。

通过这一访问，黑客使用客户支持维护工具从学区的PowerSIS数据库中下载了学生和教师的数据。

根据BleepingComputer的首次报道和相关FAQ，敏感信息如社会保障号、医疗信息和成绩等已被窃取，部分受影响的学生数据受到影响。

该FAQ还提到，PowerSchool已支付赎金以防止被窃取的数据被私下泄露，并看到黑客声称删除了这些数据的视频。

尽管该公司在客户FAQ中比其他安全披露更为透明，但仍未提供具体的受影响学生和教师数量，这令家长、教师和学校管理员感到沮丧。

然而，BleepingComputer获得了更多信息，揭示了此次数据泄露的影响。

超过6240万学生受影响

根据多个消息来源，PowerSchool攻击的黑客声称，他们在向公司提出勒索要求时，窃取了来自美国、加拿大及其他国家的6505个学区的数据。

BleepingComputer被告知，此次PowerSchool数据泄露影响了624888628名学生和9506624名教师。

需要注意的是，加拿大学区的数字通常大于美国学区，因为这些学区管理特定地区的所有学校。

尽管PowerSchool尚未评论具体的受影响人数，并表示调查仍在进行中，但他们向BleepingComputer强调，数据泄露的具体情况因学区而异。

PowerSchool表示，学区根据其政策要求决定在SIS数据库中存储哪些信息。因此，预计不到四分之一的受影响学生的社会保障号在此次泄露中被暴露。

公司还表示，他们有云端和本地托管的PowerSchool SIS客户。对于自托管数据库的学区，由于需要学区共享信息进行分析，数据审查变得更为复杂。

PowerSchool在回应关于我们报道的问题时，向BleepingComputer分享了以下声明：

“我们理解我们在PowerSchool SIS上有一个非常庞大的客户群，但我们认为有必要强调，大多数涉及的个人——实际上超过四分之三——并未被泄露社会保障号。我们收到了很多关于涉及数据类型的问题，很难一概而论，因为答案因客户而异，并且取决于客户的选择及州或学区的政策要求。”

“我们深切关心我们服务的学生、教师和家庭，完全致力于为他们提供支持。PowerSchool将为所有受影响的学生和教育工作者提供两年的免费身份保护服务和两年的免费信用监控服务。无论个人社会保障号是否被泄露，我们都会提供这些服务（这意味着我们无论是否被法规要求都将这样做）。我们还将代表我们的客户向州检察总长办公室、教育工作者、学生、家长和其他受影响方发出通知。我们真诚希望减轻这些通知对我们的客户和他们所在机构的负担。”

PowerSchool表示，他们将为所有受影响的学生和教育工作者提供两年的免费身份保护和信用监控服务。

公司还将代表客户向州检察长办公室及相关人员发出数据泄露通知，但尚不清楚具体时间。

此外，PowerSchool承诺将在1月17日发布基于CrowdStrike调查的事件报告，但该报告尚未发布。

当被问及报告何时可用时，PowerSchool表示CrowdStrike仍在完成最终的法医报告，报告完成后将提供给客户。

在此期间，PowerSchool已在其客户专用FAQ中发布更新，表示客户可以获得有关目前已知情况的保密CrowdStrike事实说明。

PowerSchool还建立了一个专门的公共网站，供受影响人员关注进一步更新。

---

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；