A gigante de tecnologia educacional dos EUA, PowerSchool, começou a notificar as pessoas afetadas por uma violação de dados em dezembro de 2024 que provavelmente afeta milhões de alunos e professores da América do Norte.
O PowerSchool disse em uma breve atualização na segunda-feira que iniciou o processo de apresentação das notificações regulamentares legalmente exigidas após a violação, que viu os invasores usarem uma credencial de conta roubada para acessar o portal de suporte ao cliente da empresa e exfiltrar grandes quantidades de dados sensíveis de alunos e professores. PowerSchool anteriormente disse ao TechCrunch que a conta hackeada não estava protegida com autenticação de dois fatores.
A PowerSchool, sediada na Califórnia, já apresentou uma notificação de violação de dados ao procurador-geral do Maine, que confirma que mais de 33.000 residentes do estado tiveram dados roubados durante a violação. Embora a lei estadual do Maine normalmente exija que as organizações divulguem o número total de indivíduos conhecidos por serem afetados por uma violação, a PowerSchool ainda não divulgou esse número.
O Bleeping Computer, citando várias fontes, relata que os hackers responsáveis pela violação do PowerSchool alegadamente acessaram os dados pessoais de mais de 62 milhões de alunos e 9,5 milhões de professores. O PowerSchool diz em seu site que sua tecnologia é usada por mais de 60 milhões de alunos.
Quando questionada se o número reportado de 62 milhões de alunos afetados pela violação é preciso, a porta-voz do PowerSchool, Beth Keebler (via a empresa de comunicações em crise FTI Consulting), disse ao TechCrunch que a empresa “não pode confirmar” um número preciso de indivíduos afetados, pois o processo de revisão de dados da empresa está em andamento. O PowerSchool acrescentou que a organização fornecerá atualizações aos procuradores-gerais estaduais à medida que o processo avança, sugerindo que o número de residentes do Maine afetados pode ser maior do que o número reportado de 33.000 até o momento.
“Este é um processo complicado porque a revisão de dados para clientes locais requer colaboração adicional entre o PowerSchool e esses clientes”, disse o porta-voz do PowerSchool.
Milhões de alunos já confirmados afetados
Muitas perguntas permanecem sem resposta sobre a violação de dados do PowerSchool: ainda não está claro quem foi responsável pelo ataque; que evidências o PowerSchool alegadamente recebeu de que seus dados roubados foram apagados; ou o valor que a empresa pagou em uma demanda de resgate aos hackers. A falta de informações em torno do incidente forçou os distritos escolares afetados a trabalharem juntos para investigar o impacto e a escala da violação.
Em uma postagem em sua página de incidentes, o PowerSchool diz que ainda não pode confirmar que tipos de dados sensíveis foram acessados “porque a resposta varia de acordo com o cliente individual e depende da escolha ou das políticas e requisitos do distrito”. O TechCrunch ouviu de vários distritos escolares afetados pela violação que “todos” os seus dados históricos armazenados no PowerSchool, incluindo dados sensíveis, como informações sobre direitos de acesso dos pais a seus filhos, foram acessados.
O Conselho Escolar do Distrito de Toronto (TDSB), que na semana passada confirmou que os hackers haviam acessado quase 40 anos de dados dos alunos, é a organização mais afetada até agora, com os dados de quase 1,5 milhão de alunos roubados. Em uma carta aos pais, vista pelo TechCrunch, o TDSB confirmou que os dados roubados incluem gêneros, informações de série, dados médicos e detalhes de acomodação.
O Bleeping Computer também lista o Conselho de Educação de Calgary (CBE) entre os afetados pela violação, e relata que os dados de mais de 500.000 alunos foram levados. Em um comunicado ao TechCrunch, a porta-voz do CBE, Joanne Anderson, disse que o conselho “não tem confirmação do PowerSchool sobre o número de alunos e funcionários afetados e os detalhes dos dados roubados”.
Os distritos escolares afetados também estão notificando aqueles cujos dados foram roubados durante a violação do PowerSchool. O Distrito Escolar de West Ada, no Idaho, que tem quase 40.000 alunos em classes do pré-primário ao 12º ano, disse em uma carta, vista pelo TechCrunch, que informações pessoais, incluindo “saúde de segurança da vida e informações de série para alunos atuais e antigos”, foram acessadas.
As Escolas Públicas da Cidade de Alexandria, na Virgínia, que atendem a mais de 16.000 alunos, também confirmaram que os dados dos alunos foram comprometidos. Em uma carta enviada aos pais, o distrito diz que os hackers acessaram informações pessoais dos alunos, dados médicos e status de refeição gratuita.
Em um comunicado em seu site, o Distrito Escolar da Cidade de Rochester confirmou que 134.000 alunos foram afetados pela violação do PowerSchool. O distrito, que supervisiona 46 escolas em Nova York, disse que as informações acessadas incluem alertas legais e diagnósticos e condições médicas.
