PowerSchool’da Büyük Veri İhlali: 62 Milyon Öğrenci Etkilendi
Şu anda sadece Şubat ayı olmasına rağmen, Amerika Birleşik Devletleri’nin eğitim teknolojileri devi PowerSchool’da meydana gelen siber saldırı, yılın en büyük veri ihlallerinden biri olma potansiyeline sahip.
İhlalin Boyutu ve Etkisi
PowerSchool, 2024 yılında Bain Capital tarafından 5.6 milyar dolara satın alınan bir şirket olarak, Kuzey Amerika’daki 18.000’den fazla okula K-12 yazılımları sunuyor ve yaklaşık 60 milyon öğrenciye hizmet veriyor. Şirket, Ocak ayının başında veri ihlalini doğruladı. Saldırganların, şirketin müşteri destek portalı üzerinden ele geçirilen kimlik bilgilerini kullanarak okullara ait öğrenci kayıt, not ve devam bilgilerini yönetmek için kullanılan PowerSchool SIS sistemine erişim sağladığı bildirildi.
Bilinmeyenler Listesi
PowerSchool’un sözcüsü Beth Keebler, “28 Aralık 2024’te, PowerSource adlı topluluk odaklı müşteri portalı üzerinden PowerSchool SIS bilgilerinde yetkisiz erişim olabileceğini bildik” dedi. İhlalin ardından, şirket, çok faktörlü kimlik doğrulama teknolojisini desteklemeyen portalın güvenlik zafiyetinden bahsetti. Ancak, çok sayıda dikkate değer soru hâlâ yanıt bekliyor.
PowerSchool, saldırıdan etkilenen bireyleri ve eyalet düzenleyicilerini bilgilendirmeye başladığını belirtti, ancak hala çok sayıda soru yanıt bulmuş değil. Örneğin, ihlalin ne kadar okul veya öğrenciyi etkilediği belirsizliğini koruyor. TechCrunch, hassas verilerin kapsamının “büyük” olabileceği bilgisini aldığını bildiriyor; fakat PowerSchool, etkilenen okul ve birey sayısını kesin olarak belirtmiyor.
Hacker’ın Hedef Aldığı Veriler
Bazı kaynaklar, Bleeping Computer gibi, PowerSchool ihlaliyle ilgili olan saldırganın 62 milyon öğrencinin ve 9.5 milyon öğretmenin kişisel bilgilerine eriştiğini iddia etmekte. Ancak PowerSchool bu sayının doğruluğunu defalarca reddetti. Texas eyaletine yapılan bir bildirimde ise, neredeyse 800.000 kişinin verilerinin çalındığı belirtiliyor.
Toronto District School Board, veri ihlalinin 40 yıl boyunca toplanmış öğrenci verilerine erişim sağladığını ve 1.5 milyon öğrencinin bilgilerini etkileyebileceğini açıkladı. Benzer şekilde, Menlo Park City School District, tüm mevcut öğrenci ve personel bilgilerine erişildiğini duyurdu.
Bilmiyoruz: Hangi Veriler Çalındı?
Ne yazık ki, ihlal sırasında hangi verilerin erişildiği veya ne miktarda verinin etkilendiği konusunda da belirsizlik var. Bir iletişimde, şirketin “hassas kişisel bilgilerin” çalındığını, bunlar arasında öğrencilerin notları ve katılım bilgileri olduğunu doğruladığı belirtiliyor. Ancak bireyler için hangi bilgilerin alındığı, müşteri taleplerine göre farklılık gösteriyor.
PowerSchool, etkilenen okullara “SIS Self Service” aracı sağladığını bildirdi; bu araç, hangi verilerin sistemde saklandığını sorgulayıp özetleyebiliyor, ama ihlal sırasında hangi verilerin ele geçirildiğini tam olarak yansıtmayabiliyor.
Şirketin Üzerine Almaları Gereken Adımlar
Ödenen Rakam Henüz Bilinmiyor
PowerSchool, çalınan verilerin yayınlanmaması için uygun adımları attığını belirtiyor. Söz konusu iletişimde, şirketin bir siber zorbalık olayına müdahale ekibiyle çalışarak tehdit aktörleriyle müzakere yürüttüğü bildirilmiş. Ancak ne kadar fidye ödendiğine dair herhangi bir bilgi verilmedi.
Verilerin Silindiğine Dair Kanıt
Keebler, çalıntı verilerin paylaşılmasını beklemediklerini ve bunun silindiğine inandıklarını belirtti. Ancak, söz konusu verilerin silindiğine dair ne tür bir kanıt sağladıklarına dair sorular cevapsız kalıyor.
Saldırının Ardındaki Fail Kim?
PowerSchool’un saldırganın kimliği konusunda hâlâ net bir bilgi vermemesi, durumu daha da karmaşıklaştırıyor. CyberSteward, olayın tetkikinde görev alan organizasyonun sorulara yanıt vermediği bildirilmektedir.
Sonuç olarak, CrowdStrike tarafından yapılan incelemenin sonuçları da belirsizliğini koruyor. PowerSchool müşterilerine, CrowdStrike’ın bulguları hakkında bilgi verilmesi planlandı ancak rapor henüz yayınlanmadı. Özetle, bu ihlal, Amerika Birleşik Devletleri’nin eğitim sisteminin güvenliği açısından büyük bir tehdit oluşturuyor.
