学校が何千万人もの生徒を追跡するのを支援する会社のハックは、これまでのアメリカの子供の個人情報の最大の違反であると思われます、とサイバーセキュリティの専門家は言います。
また、Cybersecurity Company Crowdstrikeによる特別に委託された暫定サイバーセキュリティ監査は、NBCニュースと内部討論の記録だけが取得したコピーによると、学生のデータを保護するための基本的な予防措置を講じることができなかったことを示しました。
同社のPowerSchoolは、米国で最も広く使用されている教育技術プログラムの1つであり、侵害されたシステムの1つである学生情報システム(SIS)で最もよく知られています。 SISソフトウェアは、学区がK-12の生徒を追跡し、名前、学校、誕生日、住所、保護者などの情報を収集するのに役立ちます。多くの地区がさらに進んで、社会保障番号、健康上の懸念、懲戒記録などの情報を追加します。
子どものデータの盗難は、通常、それがどのように保護されているかについての機関がないため、特にひどいと見なされます。サイバー犯罪者が被害者の情報を繰り返し再パッケージし、再販するため、特定のデータ侵害から個人情報の盗難の特定のインスタンスへの直接線を引き出すことは困難です。しかし、個人情報の盗難には、2023年には約430億ドルのアメリカ人の費用がかかります。 2024年の調査によると AARPによって。
「私たちはこの事件の重要性を認識しており、それが起こったことを深く後悔しています」と、Powerschoolの広報担当者であるBeth Keeblerは、電子メールで声明で述べています。 「Powerschoolは、長年にわたってサイバーセキュリティプログラム、文化、才能に大いに投資してきました。これは勤勉で継続的な焦点の分野であり、同社は引き続き投資し続ける予定です。」
機密データを盗むサイバー犯罪者は、身代金を支払われない場合、それを公開すると脅します。 Powerschoolは、恐torの需要または支払いについてNBC Newsにコメントすることを拒否しました。しかし、顧客とのプライベートな仮想ブリーフィングで、同社の最高情報責任者であるミシュカ・マコワンは、同社がハッカーに支払い、盗まれたデータを削除するように見えるビデオを受け取ったと言いました。
サイバーセキュリティの専門家は、サイバー犯罪者がデータをリリースしないという約束を裏切ることができると警告しており、ハッカーがバックアップコピーを作成しなかったことを確認することは不可能です。
12月、ハッカーは、カスタマーサポートを使用していた学校のSIS情報に完全にアクセスできると思われるものを獲得しました。 Powerschoolの顧客ベース全体ではありませんが、この違反は数千万人のアメリカ人の子供のデータを公開するように見えました。正確な数字はまだ不明ですが、ハッカーはこの数字を6,200万人と主張しています。その数字はそうでした 最初に報告されました テクノロジーニュースサイトでコンピューターを吹き付けることによって。
木曜日の時点で、侵害されたデータはオンラインで公開されているようには見えませんでした。
ハックのプライベート評価は、会社が学生のデータを保護するための基本的な措置を講じることに失敗したことを示しています。 Powerschoolは、違反の調査を支援するために、サイバーセキュリティ会社のCrowdstrikeを雇いました。クラウドストライクによって作成された暫定報告書は、一部の学校の役人に普及していましたが、その内容は以前は公開されておらず、NBC Newsに買収されていたため、ハッカーがマルウェアを使用したり、バックドアをPowerSchoolのシステムに見つけたという証拠は見つかりませんでした。代わりに、ハッカーは単に1人の従業員のパスワードを取得しました。これにより、何百万人もの子供の個人情報をダウンロードできる「メンテナンスアクセス」関数へのアクセスが付与されました。
Crowdstrikeの報告によると、同社は、ハッカーが会社に連絡して通知して支払いを求めるために会社に連絡したとき、12月下旬まで、このような大ハックの犠牲者であったことを認識していませんでした。
クラウドストライクは、業界の実践に沿ってコメントを拒否しました。
会社の幹部や学校の代表者を含むプライベートオンラインチャットで、エグゼクティブは、ハッカーが2要素認証を有効にしていない1つのアカウントにログインすることで学生の記録にアクセスしてダウンロードできることを認めました。アカウントの基準、特に機密情報にアクセスできる標準。名前を付けないように要求した1人の参加者は、チャットのスクリーンショットを取り、NBC Newsと共有しました。
学校の独立したセキュリティコンサルタントであるビル・フィッツジェラルドは、それは貧弱なセキュリティの例であると述べたが、エドテック業界では珍しいことではない。
「マルチファクター認証を実施していない場合、それはベストプラクティスではありません」とフィッツジェラルドはNBC Newsに語りました。 「しかし、これは常に起こります。」
K12 SixのナショナルディレクターであるDoug Levinは、学校がハッカーから身を守るのを支援する業界の非営利団体であり、特に学校がますます依存している教育に焦点を当てたテクノロジーの業界であるEDTECHと呼ばれるLAXサイバーセキュリティ基準を非難しました。 -19パンデミック。レビンはNBC Newsに、ハックとセーフガードの欠如は両方とも極端であるが、それでも業界に象徴的であると語った。
「アメリカの生活様式に非常に不可欠なセクターにとって、K-12の学校もそのベンダーもサイバーセキュリティの実践基準に保持されていないことは無慈悲です」と彼は言いました。 サイバーセキュリティの問題 それはセクターを悩ませています。 「このインシデントは、その範囲とデータの感度の両方でユニークです。」
PowerSchoolは、ハックの影響を受けた学生の数に関する詳細を共有することを拒否しました。進行中の調査を引用していますが、スポークスマンは、社会保障数が損なわれた学生の数が25%未満であると確信していると述べました。数千万人に。
サンディエゴ郡教育局の最高情報責任者であるテリー・ロフタスは、7つの地区がPowerSchoolの顧客であるため、一部の学区がSISに含まれる追加の学生情報にアクセスするハッカーに特に心配しているとNBC Newsに語った。
「私たちは障害について、そして特別教育の学生のために支援が導入されていることについて話しているかもしれません」とロフタスは言いました。 「これは非常に敏感であり、さまざまな不気味なグループやデータブローカーに転売する限り、脅威のアクターにとって大きな価値があります。」
「現状であるように、または現れるように、私たちが特に聞かない限り、これは最終的にK-12の学生の最大の違反になるでしょう」と彼はNBC Newsに語った。
場合によっては、元学生の情報もPowerschoolプログラムにあり、彼らの個人情報も盗まれたと同社は述べています。 プレスリリース。
Powerschoolのリーチの正式な公的会計はありませんが、SISソフトウェアの使用は州内で異なる場合がありますが、アラバマ州、ノースカロライナ州、サウスカロライナ州と州全体の契約があります。学校が学生と保護者にパワルスクール違反について警告している他の州には、アラスカ、アラスカ、アリゾナ、カリフォルニア、コロラド、コネチカット、デラウェア、イリノイ、インディアナ、カンザス、ルイジアナ、メインランド、マサチューセッツ、ミシガン、ミネソタ、ミズーリ、ミズーリ、モナナ、ネブラスカ、ネバダ州、ニューハンプシャー州、ニュージャージー、ニューメキシコ、ニューヨーク、ノースダコタ、オハイオ、オクラホマ、オレゴン、ペンシルベニア、ロードアイランド、サウスダコタ、テネシー、テキサス、ユタ、ウィスコンシン、ワイオミング。
ジョージア放送局 11Aliveが推定しています 州の教育省から、州内の230,000人以上の学生が影響を受けた可能性があると考えています。
場合によっては、学区は、ハッカーが非常に具体的な情報を盗んだと警告しています。聴覚障害者と盲人のためのユタの学校 発表 ハッカーは、学生の名前、誕生日、成績だけでなく、昼食アカウントのロッカー数と組み合わせ、バランスにもアクセスできたこと。
カリフォルニア大学バークレー校の公益サイバーセキュリティプログラムのディレクターであるサラ・ポラゼクは、それを買う余裕がないかもしれない学校や他の市民組織にサイバーセキュリティの助けを提供していると、学校はPowerSchoolのような信頼できる企業の不幸な立場にあると言いました。彼らの学生の個人情報。
「学区は実際にこの製品を制御できません。PowerSchool自体が自分の組織内で正しいセキュリティ手順を実装しているかどうかは、彼らには任命されていません。学校はこれらの教育技術製品に非常に慈悲に包まれています」とPowazekはNBC Newsに語りました。
公的に、Powerschoolは、高いサイバーセキュリティ基準を確保するには苦労がかかると述べています。 2023年、CEO Hardeep Gulati 当時のファーストレディジルバイデンに加わりました Edtechサイバーセキュリティを促進するホワイトハウスイベントで。会社の ウェブサイトによると 日常的なセキュリティ監査や「すべての従業員向けの広範な継続的なセキュリティ/サイバーセキュリティトレーニング」など、子供と教師のデータを保護するための一連の措置が必要です。
PowerSchoolは、非営利の将来のプライバシーフォーラムによって作成された別の誓約の署名者です。 一連の基本的な手順 学生の情報を保護するため。プライバシーフォーラムの将来のスポークスマンは、NBC Newsに、署名者としてのPowerschoolのステータスが現在、「会社の学生のプライバシー誓約のコミットメントの潜在的違反」について審査中であると語った。
