Distrik sekolah di Amerika Serikat yang terkena dampak serangan cyber baru-baru ini terhadap raksasa edtech PowerSchool telah memberitahu TechCrunch bahwa para peretas mengakses 'semua' data historis siswa dan guru yang disimpan dalam sistem informasi siswa mereka.
PowerSchool, yang perangkat lunak catatan sekolahnya digunakan untuk mendukung lebih dari 50 juta siswa di seluruh Amerika Serikat, diserang pada bulan Desember yang mengorbankan portal dukungan pelanggan perusahaan dengan kredensial yang dicuri, memungkinkan akses ke sejumlah data pribadi yang dimiliki oleh siswa dan guru di sekolah K-12. Serangan belum diatributkan secara resmi kepada peretas atau kelompok tertentu.
PowerSchool tidak mengatakan berapa banyak pelanggan sekolahnya yang terpengaruh. Namun, dua sumber di distrik sekolah yang terkena dampak — yang meminta namanya tidak disebutkan — mengatakan kepada TechCrunch bahwa para peretas mengakses sejumlah besar data pribadi yang dimiliki baik oleh siswa maupun guru saat ini maupun sebelumnya.
“Dalam kasus kami, saya baru saja mengkonfirmasi bahwa mereka mendapatkan semua data historis siswa dan guru,” kata orang di salah satu distrik sekolah yang terkena dampak kepada TechCrunch. Orang tersebut menambahkan bahwa meskipun PowerSchool mengatakan para peretas memiliki akses ke datanya sejak akhir Desember, catatan distrik menunjukkan bahwa para penyerang telah mendapatkan akses lebih awal.
Orang lain, yang bekerja di sebuah distrik sekolah dengan hampir 9.000 siswa, mengatakan kepada TechCrunch bahwa para peretas mengakses “data demografis untuk semua guru dan siswa, baik yang aktif maupun historis, sejak kami menggunakan PowerSchool.”
“Kami telah melihat akses ini dalam catatan kami dan [PowerSchool] telah mengungkapkannya dalam panggilan pelanggan,” kata orang kedua itu. Mereka menambahkan bahwa PowerSchool tidak mengamankan sistem yang terkena dampak dengan perlindungan dasar, seperti otentikasi multi-faktor.
Saat dihubungi oleh TechCrunch, juru bicara PowerSchool Beth Keebler tidak membantah laporan para pelanggan tetapi menolak untuk membahas kontrol keamanannya, dengan mengutip kebijakan perusahaan. Ketika ditanya apakah PowerSchool menggunakan keamanan multi-faktor di seluruh bisnisnya, Keebler mengatakan perusahaan “menggunakan MFA,” tetapi tidak memberikan penjelasan lebih lanjut.
Beberapa distrik sekolah telah secara publik memposting informasi tentang bagaimana pelanggaran data PowerSchool memengaruhi siswa dan staf mereka. Distrik Sekolah Kota Menlo Park, distrik lain yang terkena dampak dari pelanggaran data PowerSchool, juga mengonfirmasi bahwa data historis mereka telah diakses selama pelanggaran data. Dalam pemberitahuan di situs webnya, distrik sekolah California tersebut mengatakan para peretas mengakses data tentang “semua siswa dan staf saat ini,” serta data tentang siswa dan staf yang berasal dari awal tahun ajaran 2009-2010.
Juru bicara PowerSchool Keebler menolak memberikan komentar tentang seberapa besar pelanggaran data tersebut, tetapi mengatakan kepada TechCrunch bahwa PowerSchool telah “mengidentifikasi sekolah dan distrik yang terlibat dalam data tersebut.” Perusahaan menolak untuk secara publik menyebutkan nama-nama sekolah atau distrik tersebut.
Keebler mengatakan PowerSchool masih bekerja untuk mengidentifikasi individu-individu tertentu yang data pribadinya mungkin telah diakses.
Marc Racine, chief executive dari perusahaan konsultan teknologi pendidikan berbasis Boston, RootED Solutions, mengatakan dalam sebuah pos blog pekan ini bahwa pelanggaran data PowerSchool juga memengaruhi distrik sekolah yang merupakan mantan pelanggan PowerSchool, menunjukkan bahwa skala pelanggaran tersebut bisa melebihi 18.000 pelanggan pendidikan organisasi tersebut.
Racine menambahkan bahwa beberapa distrik sekolah melaporkan jumlah siswa yang terkena dampak berkisar empat hingga sepuluh kali lipat dari jumlah siswa yang terdaftar aktif dalam distrik tersebut.
Menurut FAQ PowerSchool yang dibagikan kepada pelanggan minggu lalu, yang telah dilihat oleh TechCrunch, data yang dicuri dalam pelanggaran tersebut termasuk nama dan alamat individu, nomor asuransi sosial, beberapa informasi medis dan nilai, dan informasi pribadi lainnya yang tidak ditentukan milik siswa dan guru.
Distrik Sekolah Rancho Santa Fe, distrik sekolah California yang terkena dampak oleh peretasan dan salah satu pelanggan PowerSchool pertama yang mengajukan pengumuman pelanggaran data mereka sendiri kepada regulator negara, mengatakan bahwa para peretas juga mengakses kredensial guru untuk mengakses PowerSchool.
Ketika ditanyai oleh TechCrunch, Keebler mengatakan bahwa “jenis data yang disimpan dalam platform Sistem Informasi Siswa (SIS) dan kebijakan retensi data historis bervariasi berdasarkan kebutuhan individu pelanggan dan persyaratan negara.”
“Meskipun tinjauan data kami masih berlangsung, kami mengharapkan mayoritas pelanggan terlibat tidak memiliki nomor asuransi sosial atau informasi medis yang diambil,” ujar Keebler kepada TechCrunch dalam pernyataan pada hari Selasa.
PowerSchool mengatakan kepada TechCrunch pekan lalu bahwa perusahaan telah mengambil “langkah-langkah yang tepat” untuk mencegah data yang dicuri dipublikasikan, dan mengatakan bahwa mereka “percaya data tersebut telah dihapus tanpa replikasi atau diseminasi lebih lanjut.” Perusahaan tidak memberikan detail tentang langkah-langkah yang diambil, dan menolak untuk menyebutkan bukti apa yang dimiliki perusahaan untuk menunjukkan bahwa data yang dicuri telah dihapus.
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran data PowerSchool? Kami akan senang mendengarnya. Dari perangkat non-kerja, Anda dapat menghubungi Carly Page secara aman di Signal di +44 1536 853968 atau melalui email di carly.page@techcrunch.com.
