Peretas yang membobol raksasa teknologi pendidikan PowerSchool mengklaim dalam tuntutan pemerasan bahwa mereka mencuri data pribadi 62,4 juta siswa dan 9,5 juta guru.
PowerSchool adalah penyedia solusi perangkat lunak berbasis cloud untuk sekolah K-12 dan distrik yang menyediakan alat untuk pendaftaran, komunikasi, kehadiran, manajemen staf, sistem pembelajaran, analitik, dan keuangan.
Pada tanggal 7 Januari, PowerSchool mengungkapkan hal itu mengalami serangan siber setelah pelaku ancaman menggunakan kredensial yang dicuri untuk mengakses portal dukungan pelanggan PowerSource perusahaan.
Dengan menggunakan akses ini, pelaku ancaman memanfaatkan alat akses pemeliharaan dukungan pelanggan untuk mengunduh data siswa dan guru dari database PowerSIS distrik.
Sebagai pertama kali dilaporkan dan dilihat oleh BleepingComputer, sebuah FAQ menyatakan bahwa informasi sensitif, seperti Nomor Jaminan Sosial, informasi medis, dan nilai, dicuri untuk sekelompok siswa yang terkena dampak pelanggaran tersebut.
FAQ ini juga menyatakan bahwa PowerSchool membayar uang tebusan untuk mencegah data yang dicuri bocor secara pribadi, melihat video dari pelaku ancaman yang mengaku menghapus data tersebut.
Meskipun perusahaan menunjukkan lebih banyak transparansi dalam FAQ pelanggan pribadi dibandingkan pengungkapan keamanan lainnya, mereka masih belum memberikan angka spesifik mengenai berapa banyak siswa dan guru yang terkena dampak pelanggaran tersebut, sehingga membuat frustrasi orang tua, guru, dan administrator sekolah yang telah berbicara dengan BleepingComputer.
Namun, BleepingComputer telah menerima informasi yang lebih menjelaskan dampak pelanggaran ini.
Lebih dari 62 juta siswa terkena dampaknya
Menurut berbagai sumber, pelaku ancaman di balik serangan PowerSchool mengaku telah mencuri data 6.505 distrik sekolah di AS, Kanada, dan negara lain sebagai tuntutan pemerasan kepada perusahaan.
Secara total, BleepingComputer diberitahu bahwa pelanggaran data PowerSchool berdampak pada 62,488,628 siswa dan 9,506,624 guru.
Dalam informasi yang dilihat BleepingComputer, distrik terbesar yang diduga terkena dampak pelanggaran PowerSchool adalah:
| Nama Distrik | Siswa Terkena Dampak | Guru Terkena Dampaknya |
|---|---|---|
| Dewan Sekolah Distrik Toronto | 1.484.733 | 90.023 |
| Dewan Sekolah Distrik Peel | 943.082 | 39.693 |
| Distrik Sekolah Independen Dallas | 787.212 | 79.718 |
| Dewan Pendidikan Calgary | 593.518 | 133.677 |
| Sekolah Kabupaten Memphis-Shelby | 485.087 | 54.501 |
| San Diego Bersatu | 472.278 | Mungkin tidak dicuri |
| Sekolah Charlotte-Mecklenburg | 467.974 | 57.486 |
| Sekolah Umum Wake County | 461.005 | 92.783 |
Perlu dicatat bahwa jumlah dewan sekolah di Kanada cenderung lebih besar dibandingkan distrik sekolah di AS karena dewan tersebut mengatur semua sekolah di wilayah tertentu di Kanada.
Meskipun PowerSchool tidak akan mengomentari angka spesifiknya karena penyelidikannya masih berlangsung, mereka menekankan kepada BleepingComputer bahwa jenis data yang terungkap dalam pelanggaran data bervariasi di setiap distrik.
PowerSchool mengatakan bahwa distrik sekolah memutuskan informasi apa yang disimpan dalam database SIS berdasarkan persyaratan kebijakan distrik atau Negara Bagian mereka. Oleh karena itu, diperkirakan kurang dari seperempat siswa yang terkena dampak kebocoran Nomor Jaminan Sosialnya.
Perusahaan juga mengatakan bahwa mereka memiliki pelanggan PowerSchool SIS berbasis cloud dan on-premise. Bagi kabupaten/kota yang memiliki basis datanya sendiri, peninjauan data menjadi lebih rumit karena kabupaten/kota tersebut harus berbagi informasi untuk dianalisis.
Menanggapi pertanyaan tentang pelaporan kami, PowerSchool membagikan pernyataan berikut dengan BleepingComputer.
“Kami memahami bahwa kami memiliki basis pelanggan yang sangat besar di PowerSchool SIS, namun kami merasa penting untuk menyoroti bahwa kami memperkirakan mayoritas individu yang terlibat – bahkan lebih dari tiga perempatnya – tidak memiliki nomor jaminan sosial yang dicuri. Kami menerima banyak pertanyaan tentang jenis data apa yang terlibat dan sulit untuk membuat pernyataan umum karena jawabannya berbeda-beda setiap pelanggan dan bergantung pada pilihan pelanggan serta kebijakan dan persyaratan negara bagian atau distrik.
Kami sangat peduli terhadap siswa, guru, dan keluarga yang kami layani dan berkomitmen sepenuh hati untuk mendukung mereka. PowerSchool akan menawarkan layanan perlindungan identitas gratis selama dua tahun dan layanan pemantauan kredit gratis selama dua tahun untuk semua siswa dan pendidik yang berlaku yang informasinya terlibat. Kami melakukan hal ini terlepas dari apakah Nomor Jaminan Sosial seseorang telah disusupi (artinya, kami melakukan hal ini terlepas dari apakah kami diwajibkan oleh peraturan atau tidak). Kami juga akan membuat pemberitahuan atas nama pelanggan kami ke kantor jaksa agung negara bagian, pendidik, siswa, orang tua, dan pemangku kepentingan lain yang terkena dampak. Kami sangat berharap dapat meringankan beban pemberitahuan ini pada pelanggan kami dan institusi mereka.”
❖ Sekolah Kekuatan
PowerSchool mengatakan mereka akan menawarkan layanan perlindungan identitas dan pemantauan kredit gratis selama 2 tahun untuk semua siswa dan pendidik yang terkena dampak.
Perusahaan juga akan mengirimkan pemberitahuan pelanggaran data atas nama pelanggan ke kantor Kejaksaan Agung dan pihak yang terkena dampak. Garis waktu kapan hal ini akan terjadi masih belum jelas.
Lebih lanjut, PowerSchool berjanji untuk merilis laporan insiden berdasarkan investigasi CrowdStrike pada tanggal 17 Januari, namun tanggal tersebut telah berlalu tanpa ada laporan yang dipublikasikan.
Ketika ditanya kapan laporan tersebut akan tersedia, PowerSchool mengatakan CrowdStrike masih berupaya menyelesaikan laporan forensik, yang akan tersedia bagi pelanggan setelah selesai.
Untuk sementara, PowerSchool telah memposting pembaruan pada FAQ khusus pelanggan, yang mengatakan bahwa pelanggan dapat menerima lembar fakta rahasia CrowdStrike tentang apa yang diketahui sejauh ini.
PowerSchool juga disiapkan situs web publik khusus sehingga mereka yang terkena dampak dapat memantau pembaruan lebih lanjut.
