Amerika Birleşik Devletleri’nin eğitim teknolojileri alanındaki devlerinden PowerSchool, Aralık 2024’te meydana gelen bir veri ihlali nedeniyle etkilenen bireylere bildirimde bulunmaya başladı. Bu saldırının, Kuzey Amerika genelinde milyonlarca öğrenci ve öğretmeni kapsadığı düşünülüyor.
Veri İhlali ve Güvenlik Açığı
PowerSchool, kısa bir güncelleme ile, ihlal sonrası gerekli yasal bildirimleri yapmak üzere süreci başlattığını duyurdu. Saldırganların, şirketin müşteri destek portalına erişmek için çalınmış bir kimlik bilgisi kullandığı ve ciddi miktarda hassas öğrenci ve öğretmen verisi çaldığı kaydediliyor. PowerSchool, TechCrunch ile daha önce yaptığı görüşmede, hacklenen hesabın çok faktörlü kimlik doğrulama ile korunmadığını belirtmişti.
Maine’deki Etkiler ve Bilgi Eksiklikleri
Kaliforniya merkezli PowerSchool, Maine’in başsavcısına bir veri ihlali bildirimi göndererek, 33,000’den fazla eyalet sakininin verisinin çalındığını doğrulamış durumda. Ancak PowerSchool, şu ana kadar kaç bireyin etkilendiğini konusunda kesin bir rakam vermedi. Bleeping Computer; hacklenme olayının, 62 milyonun üzerinde öğrenci ve 9.5 milyon öğretmenin kişisel verilerini etkilediğini rapor ediyor. PowerSchool’un web sitesinde ise teknolojisinin 60 milyondan fazla öğrenci tarafından kullanıldığını ifade ediyor.
Veri İhlalinin Kapsamı
PowerSchool’un sözcüsü Beth Keebler, TechCrunch ile yaptığı açıklamada, ihlalden etkilenen bireylerin kesin sayısını doğrulamanın mümkün olmadığını ve şirketin veri inceleme sürecinin sürdüğünü belirtti. Gelecek günlerde eyalet başsavcılarına güncellemeler sunulacak diyen PowerSchool, Maine’deki etkilenenlerin sayısının şu ana kadar 33,000 olan bildirilenden daha fazla olabileceğini ifade etti.
Sözcü, “Bu karmaşık bir süreç, çünkü yerel müşteriler için veri incelemesi, PowerSchool ile müşteriler arasında ek işbirliği gerektiriyor.” şeklinde konuştu.
Öğrenci Verilerinin Güvenliği Hala Belirsiz
PowerSchool veri ihlali hakkında daha çok belirsizlik var: Saldırının sorumlusunun kim olduğu, çalınan verilerin silindiğine dair hangi kanıtların olduğu ve şirketin siber suçlulara ne kadar fidye ödediği hala net değil. Bu bilinmezlik, etkilenen okul bölgelerinin birlikte çalışarak ihlalin etkilerini ve ölçeğini araştırmalarına neden oldu.
PowerSchool’un durum sayfasında, “Erişilen hassas verilerin ne olduğunu kesin olarak doğrulayamıyoruz; çünkü cevap, her müşteri için farklılık gösteriyor ve müşteri tercihleri veya bölgesel politikalar ve gereksinimlere bağlı.” bilgisi paylaşıldı. İhlalden etkilenen birçok okul bölgesinden gelen bilgilere göre, PowerSchool’daki “tüm” tarihsel veriler, velilerin çocuklarına erişim hakları gibi hassas veriler dâhil olmak üzere, erişildiğini belirtti.
Toronto Bölge Okul Kurulu (TDSB), geçen hafta, yaklaşık 1.5 milyon öğrencinin verilerinin çalındığını doğrulayan bir açıklama yaptı. TDSB’nin velilere gönderdiği mektupta, çalınan verilerin gender, sınıf bilgisi, tıbbi veriler ve özel gereksinim detaylarını içerdiği belirtildi.
Başka Etkilenen Okul Regionlar
Bleeping Computer, Calgary Eğitim Kurulu’nun (CBE) da ihlalle etkilenen kurumlar arasında olduğunu ve 500,000’den fazla öğrenci verisinin çalındığını bildiriyor. CBE sözcüsü Joanne Anderson, PowerSchool’dan etkilenen öğrenci ve personel sayısı hakkında bir teyit almadıklarını ve çalınan verilerin detaylarının belirsiz olduğunu ifade etti.
Etkilenen okul bölgeleri, PowerSchool ihlali sırasında verileri çalınan bireyleri de bilgilendiriyor. Idaho’nun West Ada Okul Bölgesi, K-12 sınıfında yaklaşık 40,000 öğrenim gören öğrencisi bulunduğunu vurgulayarak, “hayati sağlık bilgileri ve geçmiş sınıf bilgileri” gibi kişisel verilerin erişildiğini bildiren bir mektup gönderdi.
Virginia’daki Alexandria City Kamu Okulları ise 16,000’den fazla öğrenciye hizmet veriyor ve hackerların öğrenci verilerine eriştiğini onaylayarak, velilere gönderdiği mektupta öğrencilerin kişisel bilgileri, tıbbi verileri ve ücretsiz yemek durumlarının çalındığını bildirdi.
Rochester City Okul Bölgesi ise web sitesinde yayımladığı bir bildiride, 134,000 öğrencinin PowerSchool ihlalinden etkilendiğini doğruladı. New York’ta 46 okulu denetleyen bu bölge, erişilen bilgilerin yasal uyarılar, tıbbi tanılar ve koşulları içerdiğini belirtti.