PowerSchool Siber Saldırısı: Öğrenci ve Öğretmen Verileri Tehlikede
ABD’deki okul bölgeleri, eğitim teknolojisi devi PowerSchool üzerinde gerçekleşen siber saldırının ardından TechCrunch’a verdikleri bilgilerde, hackerların tarihsel öğrenci ve öğretmen verilerine eriştiğini aktardı.
Siber Saldırının Ayrıntıları
PowerSchool, 50 milyondan fazla öğrenciyi destekleyen okul kayıt yazılımıyla tanınıyor. Geçtiğimiz Aralık ayında meydana gelen saldırıda, hackerlar müşteri destek portalına erişim sağlamak için çalınan kimlik bilgilerini kullanarak K-12 okullarındaki öğrenci ve öğretmenlerin kişisel verilerine ulaştı. Bu saldırı, henüz belirli bir hacker veya gruba atfedilmedi.
PowerSchool, müşteri sayısı hakkında bir açıklama yapmadı. Ancak, saldırıya uğrayan bölgelerdeki iki kaynağa göre, hackerlar hem mevcut hem de geçmişe yönelik geniş veri havuzlarına erişti. Bir okul bölgesinden yapılan açıklamada, “Tüm tarihsel öğrenci ve öğretmen verilerinin erişildiğini doğruladım,” bilgisi verildi.
Güvenlik Açıkları ve Önlemler
Bu durum, bazı okulların >PowerSchool’un sisteminde çok faktörlü kimlik doğrulama gibi temel güvenlik önlemlerinin eksik olduğunu bildirdiği bilgisiyle birleşiyor. PowerSchool sözcüsü Beth Keebler, müşterilerin hesaplarını doğrulama sürecinde bu kısıtlamaları göz ardı ettiklerini kabul etti, ancak güvenlik önlemleri hakkında daha fazla bilgi vermeyi reddetti.
Tekrar eden açıklamalara göre, Menlo Park City School District, hack nedeniyle tarihsel verilere de erişildiğini doğruladı. Ayrıca, verilerin başlangıç tarihi 2009-2010 okul yılına kadar yayıldığı belirtildi.
Veri Koruma ve Sonraki Adımlar
PowerSchool’un sözcüsü Keebler, “Bu olay, PowerSchool’un mevcut 18,000 müşterisi dışında bile etkiler yaratabilir,” şeklinde değerlendirmelerde bulundu. Bazı okul bölgeleri, etkilenen öğrenci sayısının aktif olarak kayıtlı olanların sayısının 4 ile 10 katı arasında olduğunu aktardı.
Geçtiğimiz günlerde TechCrunch’a sızan PowerSchool’un sıklıkla güncellenen FAQ rehberine göre, çalınan veriler arasında isimler, adresler, Sosyal Güvenlik numaraları, bazı sağlık ve not bilgileri ile diğer kişisel tanımlayıcı bilgiler yer almakta. Rancho Santa Fe Okul Bölgesi, öğretmenlerin PowerSchool’a erişim için gerekli kimlik bilgilerine de saldırganların ulaştığını bildirdi.
Keebler, “Öğrenci Bilgi Sistemi’nde (SIS) saklanan verilerin çeşitliliği, her bir müşterinin ve eyalet gerekliliklerinin farklı olduğunu” belirtti. Devam eden veri incelemeleri sonucunda ise çoğu müşterinin Sosyal Güvenlik numarası veya tıbbi bilgilerinin sızdırıldığı bilgisi elinde bulunmadığını ifade etti.
PowerSchool, “Çalınan verilerin yayımlanmasını önlemek için uygun adımlar attık,” diyerek, “Verilerin silindiğini ve başka bir şekilde çoğaltılmadığını düşünüyoruz,” şeklinde bir açıklamada bulundu.
PowerSchool veri ihlali hakkında daha fazla bilgiye sahip misiniz? Bize ulaşmaktan çekinmeyin. Güvenli bir şekilde iletişime geçmek için Carly Page’e Signal üzerinden +44 1536 853968 numarasından veya carly.page@techcrunch.com adresine e-posta göndererek ulaşabilirsiniz.
