Công ty công nghệ giáo dục PowerSchool đã thông báo cho khách hàng rằng họ đã trải qua một “sự cố an ninh mạng” cho phép tin tặc xâm nhập vào dữ liệu cá nhân của học sinh và giáo viên trong các quận học K-12 trên toàn Hoa Kỳ.
Công ty PowerSchool đóng tại California, đã được Bain Capital mua với giá 5,6 tỷ USD vào năm 2024, là nhà cung cấp lớn nhất của phần mềm giáo dục dựa trên đám mây cho giáo dục K-12 tại Hoa Kỳ, phục vụ hơn 75% học sinh tại Bắc Mỹ, theo trang web của công ty. PowerSchool cho biết phần mềm của họ được sử dụng bởi hơn 16,000 khách hàng để hỗ trợ hơn 50 triệu học sinh tại Hoa Kỳ.
Trong một lá thư gửi đến khách hàng bị ảnh hưởng vào thứ Ba và được đăng tải trong một bản tin thông tin địa phương, PowerSchool cho biết họ xác định vào ngày 28 tháng 12 rằng tin tặc đã thành công xâm nhập vào cổng hỗ trợ khách hàng PowerSource của mình, cho phép truy cập thông tin trường học của công ty, PowerSchool SIS, mà các trường sử dụng để quản lý hồ sơ học sinh, điểm số, điểm danh, và nhập học. Thư cho biết cuộc điều tra của công ty đã phát hiện ra tin tặc đã truy cập vào “bằng cách sử dụng một chứng chỉ bị ảnh hưởng.”
PowerSchool đã không nói rõ loại dữ liệu nào đã được truy cập trong sự cố hoặc có bao nhiêu cá nhân bị ảnh hưởng bởi sự vi phạm.
Người phát ngôn của PowerSchool, Beth Keebler xác nhận sự cố qua email cho TechCrunch nhưng từ chối trả lời câu hỏi cụ thể về sự cố. Bain Capital đã trả lời cho TechCrunch’s.”
“Chúng tôi đã thực hiện tất cả các bước thích hợp để ngăn chặn dữ liệu liên quan khỏi bị truy cập hoặc sử dụng trái phép,” Keebler nói. “Sự cố đã được kiểm soát và chúng tôi không dự kiến dữ liệu sẽ được chia sẻ hoặc công khai. PowerSchool không gặp, cũng không dự kiến sẽ gặp phải, bất kỳ gián đoạn hoạt động nào và vẫn tiếp tục cung cấp dịch vụ bình thường cho khách hàng của chúng tôi.”
Tính chất của cuộc tấn công mạng vẫn chưa rõ. Bleeping Computer đưa tin rằng trong một FAQ gửi đến người dùng bị ảnh hưởng, PowerSchool cho biết họ không trải qua một cuộc tấn công ransomware, nhưng công ty đã bị ép phải thanh toán một khoản tiền để ngăn ngừa tin tặc rò rỉ dữ liệu đánh cắp. PowerSchool cho biết với báo chí rằng tên và địa chỉ đã bị lộ trong sự vi phạm, nhưng thông tin cũng có thể bao gồm số An Sinh Xã Hội, thông tin y tế, điểm số, và các thông tin cá nhân khác. PowerSchool không nói rõ họ đã thanh toán bao nhiêu tiền.
PowerSchool đã bị kiện trong một vụ kiện đòi bồi thường vào tháng 11 năm 2024, cáo buộc công ty bán dữ liệu học sinh mà không có sự đồng ý vì lợi ích thương mại. Theo vụ kiện, các kho dữ liệu học sinh của công ty lên đến “345 terabytes dữ liệu được thu thập từ 440 học khu.”
“PowerSchool thu thập thông tin cực kì nhạy cảm này dưới vỏ bọc hỗ trợ giáo dục, nhưng thực tế thu thập chúng vì lợi nhuận thương mại của mình,” trong khi ẩn sau “điều khoản dịch vụ mập mờ đến mức không ai có thể hiểu,” vụ kiện cáo buộc.
Cập nhật với bình luận từ PowerSchool.
Bạn có thông tin nào khác về vụ việc xâm nhập dữ liệu của PowerSchool không? Chúng tôi rất mong được nghe từ bạn. Từ một thiết bị không phải làm việc, bạn có thể liên lạc với Carly Page an toàn trên Signal tại số +44 1536 853968 hoặc qua email tại carly.page@techcrunch.com.
