Cyberatak na platformę edukacyjną. Wyciekły dane milionów uczniów

Ataki na sektor edukacji nie powinny być dla nikogo zaskoczeniem – wbrew pozorom, bardzo często staje się on celem ataków ze strony cyberprzestępców. Jak wskazywaliśmy na łamach CyberDefence24, ma na to wpływ m.in. niedostateczne zabezpieczenie placówek, co jest z kolei skutkiem ich błędnej oceny pod kątem potrzeb cyberbezpieczeństwa.

Atak na amerykańskie oprogramowanie

Problem ten jest widoczny nie tylko w Polsce. Jak opisuje serwis NotebookCheck, cyberprzestępcy zaatakowali jednego z największych dostawców oprogramowania do zarządzania szkołami w Ameryce Północnej, PowerSchool. Według firmy, incydent został zauważony 28 grudnia ub.r., zaś klienci poszkodowani w wyniku zdarzenia zostali poinformowani 7 stycznia br.

Podczas gdy przedsiębiorstwo komunikuje się z tysiącami szkół na terenie Stanów Zjednoczonych, atak dotknął przeszło 6,5 tys. dystryktów szkolnych w USA i Kanadzie, zaś z usług PS - według TechCrunch - korzysta ponad 18 tys. placówek (zaczęły pojawiać się dokładniejsze informacje co do incydentu).

Sprawcy mieli zdobyć dane logowania do portalu wsparcia PowerSchool, a to z kolei umożliwiło im dostęp do baz danych poszczególnych dystryktów.

Teraz twierdzą, że udało się wykraść dane aż 62,4 mln uczniów i 9,5 mln nauczycieli. Doniesienia wskazują, że nie wszystkie są jednakowe ze względu na zróżnicowanie informacji, które dodawano do systemu przez każdy z dystryktów. Dostawca przekazał, że w większości wyciekły imiona, data urodzenia, Social Security Number czy dane kontaktowe.

Platforma nie mówi wszystkiego

Istotnym problemem jest również to, że PowerSchool nie mówi zbyt wiele, poza aktualizowaniem strony internetowej poświęconej cyberatakowi. W przypadku dystryktu Toronto skradziono bowiem dane z ostatnich 40 lat, zaś kalifornijski dystrykt Menlo Park mówi o informacjach sięgających roku szkolnego 2009/10. Element danych historycznych pojawia się w wielu przypadkach szkół dotkniętych wyciekiem.

Informacje przekazane przez dostawcę wspominają również o „podjętych krokach w celu uniknięcia publikacji wykradzionych danych”, obejmujących m.in. negocjacje z cyberprzestępcami. Firma nie chce jednak mówić, ile pieniędzy zażądali, a także ile faktycznie zapłacono. Nie wiadomo również, czy PowerSchool otrzymał wiarygodny dowód usunięcia plików skradzionych z systemu.

„Traktujemy naszą odpowiedzialność za ochronę danych niezwykle poważnie” – napisano w oświadczeniu organizacji, oferując jednocześnie uczniom i nauczycielom dwa lata usługi monitoringu i ochrony tożsamości.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].