Juru teknologi pendidikan PowerSchool telah memperingatkan pelanggan bahwa peretas mengakses informasi sensitif mereka — termasuk nomor Asuransi Sosial siswa, nilai, dan informasi medis — selama pelanggaran data baru-baru ini, demikian yang diketahui oleh TechCrunch.
Dalam FAQ yang diperoleh oleh TechCrunch yang dikirimkan kepada pelanggan yang terpengaruh minggu ini, PowerSchool mengatakan bahwa 'informasi pribadi sensitif' diakses selama pelanggaran Desember, yang dikonfirmasi oleh PowerSchool pada hari Rabu.
Peretas berhasil masuk ke portal dukungan pelanggan internal PowerSchool menggunakan kredensial yang dicuri, perusahaan sebelumnya mengatakan. Pelanggaran ini mempengaruhi pengguna sistem informasi sekolah PowerSchool, yang digunakan sekolah untuk mengelola catatan siswa, nilai, kehadiran, dan pendaftaran.
PowerSchool mengatakan dalam FAQ-nya bahwa meskipun data yang dicuri terutama mencakup detail kontak, seperti nama dan alamat individu, peretas juga dapat mengakses Nomor Asuransi Sosial, sebagian informasi medis dan nilai, dan informasi pribadi lainnya yang tidak ditentukan yang dimiliki siswa dan guru.
Firma teknologi pendidikan berbasis California ini, penyedia terbesar perangkat lunak pendidikan berbasis cloud untuk pendidikan K-12 di Amerika Serikat, mengatakan informasi pribadi orang tua dan wali, termasuk nama, nomor telepon, dan alamat email, juga kemungkinan terpengaruh di beberapa distrik sekolah. Perusahaan ini mengatakan jenis data yang dicuri akan bervariasi berdasarkan pelanggan.
Juru bicara PowerSchool, Beth Keebler, mengkonfirmasi keabsahan informasi dalam FAQ pada hari Kamis tetapi menolak mengatakan berapa banyak individu yang terpengaruh oleh pelanggaran tersebut. PowerSchool mengatakan perangkat lunaknya digunakan oleh lebih dari 16.000 pelanggan untuk mendukung lebih dari 50 juta siswa di seluruh Amerika Utara.
Dalam FAQ, PowerSchool mengkonfirmasi bahwa insiden keamanan tersebut bukanlah ransomware, tetapi mencatat bahwa mereka bekerja dengan CyberSteward, sebuah organisasi Kanada yang menawarkan layanan respons insiden ekstorsi siber, untuk bernegosiasi dengan para pelaku ancaman yang bertanggung jawab atas pelanggaran tersebut.
Hal ini mengkonfirmasi laporan sebelumnya bahwa PowerSchool adalah target serangan hanya ekstorsi dan membayar sejumlah uang untuk mencegah peretas dari mempublikasikan data yang dicuri.
PowerSchool menolak mengatakan bukti apa yang mereka miliki untuk menunjukkan bahwa data yang dicuri telah dihapus ketika ditanya oleh TechCrunch pada hari Kamis. CyberSteward tidak merespon pertanyaan dari TechCrunch.
'PowerSchool telah mengambil langkah-langkah yang tepat untuk mencegah penggunaan tidak sah yang lebih lanjut terhadap data yang terlibat dan tidak mengantisipasi data disebarkan atau dibuat umum,' kata Keebler. 'PowerSchool percaya data telah dihapus tanpa replikasi atau penyebaran lebih lanjut.'
PowerSchool diakuisisi oleh Bain Capital pada tahun 2024 dalam kesepakatan senilai $5,6 miliar. Ketika dihubungi oleh TechCrunch minggu ini, juru bicara Bain Capital, Rachel Colson, tidak memberikan komentar.
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran data PowerSchool? Kami akan senang mendengarnya. Dari perangkat non-kerja, Anda dapat menghubungi Carly Page secara aman di Signal di +44 1536 853968 atau melalui email di carly.page@techcrunch.com.
