美国教育科技巨头PowerSchool旗下客户支持系统、学校信息系统等产品遭到未授权访问,攻击者使用泄露凭证成功访问系统,并通过“数据导出”支持工具窃取了美国和加拿大巨量学生和老师的个人数据,目前影响规模尚未公布。
据悉,PowerSchool是美国最大的K-12教育云端软件提供商,为北美超过75%的学生提供服务。
安全内参1月9日消息,美国教育科技巨头PowerSchool向客户披露,其遭遇了一起“网络安全事件”,黑客窃取了美国各地中小学(K-12)学区学生和教师的个人数据。PowerSchool总部位于加州,在2024年被贝恩资本以56亿美元收购。根据公司官网信息,PowerSchool是美国最大的K-12教育云端软件提供商,为北美超过75%的学生提供服务。PowerSchool表示,其软件被超过1.6万家客户使用,支持超过5000万名学生的教育管理。PowerSchool于周二向受影响客户发送了一封信,该信随后被媒体曝光。信中,PowerSchool称其于2024年12月28日确认,黑客成功攻破了Power Source客户支持门户,并进一步入侵了公司的学校信息系统PowerSchool SIS。学校通常通过该系统管理学生记录、成绩、出勤率和注册信息。信中还提到,公司调查发现,黑客利用“泄露的凭据”获取了访问权限。PowerSchool发言人Beth Keebler通过电子邮件向媒体确认了这一事件,但拒绝回答有关事件的具体问题。Keebler表示:“我们已经采取了所有适当措施,以防止相关数据进一步被未经授权访问或滥用。目前事件已得到控制,我们预计这些数据不会被分享或公开。PowerSchool的运营并未因此中断,预计也不会受到事件影响,我们将继续为客户提供正常服务。”此次网络攻击的具体性质仍不清楚。PowerSchool在发给受影响用户的常见问题解答(FAQ)中表示,其并未遭遇勒索软件攻击,但公司为防止黑客泄露被盗数据而支付了一笔费用。PowerSchool未披露支付的具体金额。PowerSchool还透露,此次数据泄露中暴露的信息包括姓名和地址,同时也可能包含社会安全号码、医疗信息、成绩及其他可识别个人身份的信息。此前2024年11月,PowerSchool被提起集体诉讼,指控其未经同意非法出售学生数据以获取商业利益。根据诉讼内容,PowerSchool所收集的学生数据总量约为“345TB,这些数据来自440个学区”。诉讼中指出:“PowerSchool以支持教育为名义收集了这些高度敏感的信息,但实际上却将其用于自身的商业利益。”并且,这一行为隐藏在“晦涩难懂的服务条款”之中。
文章来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513457&idx=1&sn=64bd09ff82309ee13e9dd0d96af01f6a&chksm=ebfaf251dc8d7b47acd805812e71780ff9cb41311380bbbd85bc09359fda72440e968683ee12&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh