PowerSchool Veri İhlali: Okul Yönetimleri Panik Halinde
7 Ocak’ta, Dubai saatine göre 23:10’da, eğitim teknolojileri devi PowerSchool, Romy Backus’a çalıştığı okulun siber saldırıya uğradığına dair bir e-posta gönderdi. Şirket, 28 Aralık’ta keşfettikleri veri ihlalinin ardından, hackerdan kaynaklı olarak öğrenci ve öğretmenlerin özel bilgilerini içeren büyük bir bulut sistemine erişim sağlandığını bildirdi. Bu bilgiler arasında Sosyal Güvenlik numaraları, sağlık bilgileri, notlar ve dünya genelindeki okullara ait diğer kişisel veriler yer alıyordu.
Veri İhlalinin Boyutu ve Salgın Panic
PowerSchool, Kuzey Amerika’da 18,000’den fazla okul ve 60 milyon öğrenciyi kapsayan bulut tabanlı eğitim yazılımı sağladığını iddia ediyor. Bu bağlamda, yaşanan ihlalin etkisi “devasa” olabilir. İlgili okullardaki bir teknik çalışanı, TechCrunch’a verdiği demeçte, hackerların okullarının PowerSchool sistemlerinde saklanan “tüm” öğrenci ve öğretmen verilerine eriştiğini belirtti.
Backus, Dubai’deki American School of Dubai’da çalışıyor ve okulun PowerSchool SIS sisteminin yöneticiliğini yapıyor. Bu sistem, notlar, katılım durumu, kayıt gibi öğrenci verilerini yönetmenin yanı sıra, öğrencilerin Sosyal Güvenlik numaraları ve sağlık kayıtları gibi daha hassas bilgileri de içeriyor.
İletişim Eksiklikleri ve Okul Yönetimlerinin Tepkisi
PowerSchool’dan gelen e-posta sonrası, Backus hemen yöneticisiyle görüştü, okulun veri ihlali protokollerini devreye soktu ve ciddi bir araştırma sürecine girdi. Ancak, PowerSchool, ihlalin kendilerine ne şekilde etki ettiğine dair detaylar sunmamıştı. Backus, “Ne alındı? Ne zaman alındı? Ne kadar kötü?” diye sordu. “Somut bilgi sağlamaya hazır değillerdi,” dedi.
İlerleyen saatlerde Backus, başka okullardaki yöneticilerin de benzer cevaplar aradığını fark etti. Bir diğer okul çalışanı, PowerSchool’un karmaşık ve tutarsız iletişimi nedeniyle bilgi kirliliği yaşandığını söyledi. Bununla birlikte, PowerSchool, müşterilerini hızla bilgilendirdiklerini ifade etse de, iletilen bilgilerin çoğunun aksiyon alınabilir bilgi içermediği belirtildi.
Okul Çalışanlarının Dayanışması ve Ortak Çalışma
İlk saatlerde, okullar ihlalin boyutunu anlamak veya gerçekten bir ihlale uğrayıp uğramadıklarını belirlemek için çabalarken, PowerSchool’un kullanıcıları arasındaki iletişim arttı. Adam Larsen, Oregon, Illinois’de bulunan Community Unit School District 220’nin asistan süperintendent’i, bu durumu “patlama” şeklinde tanımladı. Öğretim kurumları, PowerSchool’un bilgilerine güvenemediği için, kısa sürede kendi iletişim ağlarını kurmaya mecbur oldu.
Backus, kendi deneyimiyle ihlali araştırmayı başardı ve diğer okulları etkileyen bir şablon olduğunu fark etti. Sonuç olarak, hack’ten etkilenen tüm okullara bilgi sağlamak amacıyla bir rehber hazırlamaya karar verdi. Bu rehberde, hackerların kullandığı IP adresi ve ihlalin nasıl inceleneceğine dair adımlar yer aldı. Backus, bu rehberi sınırlardaki PowerSchool yöneticileriyle paylaştı.
Gün içerisinde Larsen, bilgi paylaşımını destekleyen açık kaynak araçları ve “nasıl yapılır” videoları yayınlayarak hedeflerine ulaşmayı amaçladı. Bu, etkilenen okulların çalışanlarının birbirine destek olduğunun en güzel örneklerinden biriydi.
Bu süreçte, karşılıklı dayanışma ve özgün bilgi paylaşımı, PowerSchool’un yetersiz yanıtı karşısında okulları bir araya getirdi. Doug Levin, siber güvenlik alanında çalışan K12 Security Information eXchange (K12 SIX) adlı kuruluşun kurucu ortağı, “Bu tür yardımlar, eğitim camiasında oldukça yaygındır, fakat PowerSchool olayı gibi büyük ölçekli bir durum olduğunda daha da belirginleşiyor,” diye belirtti.
PowerSchool’un sözcüsü Beth Keebler, “PowerSchool müşterileri, bilgi paylaşımına ve birbirine yardıma kendini adamış güçlü bir güvenlik topluluğunun parçasıdır. Müşterilerimizin sabrı için minnettarız ve bilgi paylaşımı yapan herkese teşekkür ediyoruz,” dedi.
