Ocak ayı olmasına rağmen, ABD’deki eğitim teknolojileri devi PowerSchool’un başına gelen siber saldırı, yılın en büyük veri ihlallerinden biri olma potansiyeline sahip.
PowerSchool Veri İhlali Detayları
PowerSchool, 18,000’den fazla okula K-12 yazılımı sağlayarak ABD’de yaklaşık 60 milyon öğrenciyi desteklemekte olan bir şirkettir. Kaliforniya merkezli bu firma, 2024 yılında Bain Capital tarafından 5.6 milyar dolara satın alındı. Şirket, siber saldırının detaylarını Ocak ayının başında doğruladı ve saldırganların, müşteri destek portalını ele geçirerek, öğrencilerin kayıtlarını, notlarını, devamsızlıklarını ve kayıt işlemlerini yöneten PowerSchool SIS sistemine daha fazla erişim sağladıklarını açıkladı.
PowerSchool’un sözcüsü Beth Keebler, TechCrunch’a verdiği demeçte, “28 Aralık 2024 tarihinde, topluma yönelik bazı müşteri portallarımızdan biri olan PowerSource aracılığıyla bazı PowerSchool SIS bilgilerine yetkisiz erişim olabileceğinden haberdar olduk.” dedi.
PowerSchool, ihlal ile ilgili bazı yönleri açıkça ifade etti. Keebler, olay anında PowerSource portalının çok faktörlü kimlik doğrulamayı (MFA) desteklemediğini, ancak PowerSchool’un desteklediğini belirtti. Ancak, bu olayla ilgili birçok önemli soru hâlâ yanıtlanmayı bekliyor.
Belirsizlikler Üzerine Sorular
TechCrunch, olayla ilgili hâlâ cevapsız kalan pek çok soruyu PowerSchool’a iletti ancak Keebler, bu sorularla ilgili yanıt vermekten kaçındı. Tüm güncellemelerin şirketin SIS olay sayfasında yayınlanacağını belirtti. Ancak, bu sayfa en son 17 Ocak’ta güncellendi.
PowerSchool, 17 Ocak’ta siber güvenlik firması CrowdStrike tarafından hazırlanan bir olay raporunu müşterileriyle paylaşacağını söyledi, ancak ihlale maruz kalan bazı okullardan gelen bilgilere göre hâlâ bu rapor ulaşmamış durumda.
Bu ihlalin kaç okul veya öğrenciyi etkilediği bilinmiyor
TechCrunch, PowerSchool ihlalinden etkilenen okulların, bunun etkisinin “kapsamlı” olabileceğini belirttiğini öğrendi. Fakat PowerSchool’un olay sayfası ihlalin boyutuna dair hiçbir bilgi sunmuyor ve şirket, etkilenen okul ve birey sayısını da söylemekten kaçınıyor.
Keebler, PowerSchool’un “bu olaydan etkilenen okul ve bölgeleri tespit ettiğini” ancak bu okulların isimlerini paylaşmayacaklarını ifade etti. Ancak, etkilenen okullardan gelen haberler, ihlal hakkında genel bir fikir sunabiliyor. Örneğin, Kanada’nın en büyük okul kurumu olan Toronto District School Board (TDSB), siber saldırganların 40 yıllık öğrenci verilerine erişmiş olabileceğini söyledi.
Aynı şekilde, Kaliforniya’daki Menlo Park City School District, siber saldırganların tüm mevcut öğrenci ve personel bilgilerine, yani sırasıyla yaklaşık 2,700 öğrenci ve 400 personelin bilgilerine eriştiklerini, ayrıca 2009-2010 eğitim yılından itibaren göreve başlamış tüm öğrencilerin ve personelin verilerine de ulaştıklarını doğruladı.
Veri İhlalinin Ölçeği Belirsizliğini Koruyor
Veri hırsızlığının büyüklüğü de henüz bilinmiyor. PowerSchool, siber saldırı sırasında ne kadar verinin erişildiğini açıklamamış olsa da, şirketten yapılan bir açıklamada, saldırganların öğrenciler ve öğretmenlere ait “hassas kişisel bilgileri” çaldığını teyit etti. Bu bilgiler arasında bazı öğrencilerin sosyal güvenlik numaraları, notları, demografik bilgileri ve tıbbi bilgileri bulunuyor.
Ayrıca, ihlalde etkilenen okullardan biri, çalınan veriler arasında öğrencilerin ebeveyn erişim haklarını düzenleyen bilgilerin de bulunduğunu, hatta bazı öğrencilerin ilaç alması gereken zamanlar hakkında verilerin bile yer aldığını bildirdi.
PowerSchool, ihlali gerçekleştiren siber suçlulardan ne kadar fidye ödendiğini açıklamadı
PowerSchool, TechCrunch’a yaptığı açıklamada, çalınan verilerin yayılmasını önlemek için “uygun adımlar” attığını duyurdu. Ayrıca, müşteri ile paylaştığı bir iletişimde, ihlalle ilgili tehditle müzakere etmek için bir siber-şantaj olay müdahale şirketi ile çalıştığını belirtti.
Bu durum, PowerSchool’un sistemlerini ihlal eden saldırganlara bir fidye ödendiği anlamına geliyor. Ancak, TechCrunch’ın sorularını yanıtlamaktan kaçındı; ödediği miktarı veya saldırganların istediği toplam fidye tutarını açıklamadı.
Hırsızlanan verilerin silindiğine dair kanıtlar henüz bilinmiyor
PowerSchool’un Keebler, bu ayın başında yaptığı bir açıklamada, “verilerin kamuya paylaşılmasını beklemediklerini” ve “verilerin silindiğine dair hiçbir tekrar veya yayılma olmadan” inandıklarını ifade etti.
Ancak, şirket, çalınan verilerin silindiğine dair hangi delilleri aldığı konusunu sürekli olarak gizli tuttu. İlk raporlarda, şirketin video ile kanıt aldığı söylenmişti fakat PowerSchool bu durumu doğrulayıp doğrulamamak konusundaki sorular yanıtlamaktan kaçındı.
Her halükarda, silindiğine dair kanıt almak, bilgisayar korsanlarının hâlâ verileri elinde tutmadığına dair bir garanti değildir. Örneğin, Birleşik Krallık’ın LockBit fidye çetesi üzerine yaptığı baskında, bu çetenin hala kurbanlarından çaldıkları verileri elinde tuttuğu kanıtları ortaya çıkarmıştır.
Saldırının Arka Planındaki Kişiler Hâlâ Belirsiz
PowerSchool siber saldırısına neyin neden olduğu konusunda en büyük bilinmezlerden biri saldırganların kimliğidir. Şirket, saldırganlarla iletişimde olduğunu belirtmiş, ancak kimliklerini açıklamamıştır. PowerSchool’un çalıştığı Kanadalı olay müdahale organizasyonu CyberSteward, TechCrunch’ın sorularına yanıt vermemiştir.
PowerSchool veri ihlali hakkında daha fazla bilginiz var mı? Bizimle paylaşmanızı isteriz. İş yerinizin dışında, Carly Page’e güvenli bir şekilde Signal üzerinden +44 1536 853968 numarasından ya da e-posta ile carly.page@techcrunch.com adresinden ulaşabilirsiniz.
