PowerSchool
PowerSchool, um fornecedor líder de soluções de software baseadas em nuvem para escolas K-12, confirmou uma violação de segurança cibernética que permitiu que um agente de ameaça roubasse informações pessoais pertencentes a alunos e professores. O incidente teve como alvo distritos escolares usando a plataforma PowerSchool SIS da empresa.
Atendendo a mais de 60 milhões de alunos e 18.000 clientes globalmente, a PowerSchool desempenha um papel crítico no suporte a escolas K-12 com uma ampla gama de serviços. Isso inclui plataformas para matrícula, comunicação, rastreamento de frequência, gerenciamento de equipe, sistemas de aprendizagem, análises e operações financeiras.
Além de suas soluções de software bem conhecidas para distritos escolares, a PowerSchool opera o Naviance, uma plataforma popular nos EUA que ajuda alunos do ensino fundamental e médio com planejamento personalizado para faculdade, carreiras e preparação para a vida.
Alvo de ataques de roubo de dados
A PowerSchool informou seus clientes na terça-feira sobre uma violação recente de segurança cibernética, revelando que os invasores exploraram sua plataforma de suporte ao cliente PowerSource para roubar dados confidenciais. A empresa descobriu a violação em 28 de dezembro de 2024, quando confirmou o acesso não autorizado às informações do cliente do PowerSchool SIS.
O PowerSchool SIS, um sistema de informações estudantis amplamente utilizado, gerencia dados críticos como registros de alunos, notas, frequência e matrícula. De acordo com uma notificação do cliente obtida pelo BleepingComputer, os invasores usaram credenciais comprometidas para acessar o portal PowerSource. De lá, eles aproveitaram uma ferramenta “gerenciador de dados de exportação” para extrair as tabelas do banco de dados ‘Alunos’ e ‘Professores’, roubando os dados em um formato CSV.
Os dados roubados incluem principalmente informações de contato, como nomes e endereços. No entanto, para alguns distritos, a violação se estendeu a números de previdência social (SSNs), informações de identificação pessoal (PII), registros médicos e notas. Um porta-voz da PowerSchool declarou que a violação não expôs tíquetes de clientes, credenciais ou dados do fórum. A empresa também enfatizou que o incidente impactou apenas um subconjunto de clientes do PowerSchool SIS, exigindo notificações às partes interessadas dos distritos afetados.
Em resposta à violação, a PowerSchool solicitou a ajuda de especialistas terceirizados em segurança cibernética, incluindo a CrowdStrike, para investigar e reforçar a segurança. As ações imediatas incluíram a redefinição de todas as senhas de contas da PowerSource e o fortalecimento das políticas de senha.
Em um FAQ exclusivo para clientes, a PowerSchool esclareceu que o incidente não foi um ataque de ransomware, mas reconheceu ter pago um resgate para impedir a divulgação de dados roubados. A empresa trabalhou com a CyberSteward, uma consultora profissional que negocia com agentes de ameaças, e confirmou “garantias razoáveis” de que os dados foram excluídos. Embora um vídeo supostamente mostrando a exclusão tenha sido fornecido, a PowerSchool reconheceu a incerteza inerente a tais situações.
Para mitigar os riscos, a empresa está ativamente monitorando a dark web em busca de quaisquer sinais de vazamentos de dados. Para indivíduos afetados, a PowerSchool está oferecendo serviços de monitoramento de crédito para adultos e serviços de proteção de identidade para menores.
A PowerSchool enfatizou que suas operações permanecem inalteradas e os serviços continuam sem interrupções. A empresa agora está trabalhando em estreita colaboração com os distritos escolares impactados, fornecendo pacotes de comunicação que incluem e-mails de divulgação, pontos de discussão e perguntas frequentes para auxiliar na notificação de professores e famílias.
Determinando se você foi impactado
Em uma discussão no Reddit sobre o incidente da PowerSchool, a equipe de TI dos distritos escolares compartilhou insights sobre como os clientes podem determinar se seus dados foram comprometidos. De acordo com um usuário, os clientes devem verificar os arquivos ps-log-audit para um usuário de manutenção rotulado como “200A0.”
“Você pode correlacionar o acesso ao log de auditoria com exportações de dados em massa revisando os carimbos de data/hora nos logs de dados em massa”, aconselhou um cliente do PowerSchool SIS.
Outro usuário confirmou que seus logs mostraram que as tabelas Students e Teachers foram exportadas em 22 de dezembro de 2024. “Ótimo, tenho logs de 22/12 para Students_export.csv e Teachers_export.csv de um endereço IP ucraniano”, eles declararam.
Para ajudar ainda mais os clientes, o PowerSchool está preparando guias detalhados para ajudá-los a identificar se foram impactados e identificar os dados que foram baixados.
Investigação e transparência em andamento
A investigação, liderada pela empresa de segurança cibernética CrowdStrike, ainda está em andamento. Um relatório finalizado é esperado para 17 de janeiro de 2025. A PowerSchool enfatizou seu compromisso com a transparência e planeja compartilhar as descobertas com os distritos escolares afetados assim que o relatório estiver pronto.
Atualização 07/01/25: Um erro de digitação em comunicações anteriores, que sugeria incorretamente que as credenciais do cliente, os tickets e o banco de dados do fórum foram exfiltrados, foi corrigido.
Fonte: BleepingComputer, Lawrence Abrams
