重大事故!美國超千萬中小學生個人數據疑似泄露
責編:gltian |2025-01-10 10:12:49美國教育科技巨頭PowerSchool向客戶披露,其遭遇了一起“網絡安全事件”,黑客竊取了美國各地中小學(K-12)學區學生和教師的個人數據。
PowerSchool總部位于加州,在2024年被貝恩資本以56億美元收購。根據公司官網信息,PowerSchool是美國最大的K-12教育云端軟件提供商,為北美超過75%的學生提供服務。PowerSchool表示,其軟件被超過1.6萬家客戶使用,支持超過5000萬名學生的教育管理。
PowerSchool于周二向受影響客戶發送了一封信,該信隨后被媒體曝光。信中,PowerSchool稱其于2024年12月28日確認,黑客成功攻破了Power Source客戶支持門戶,并進一步入侵了公司的學校信息系統PowerSchool SIS。學校通常通過該系統管理學生記錄、成績、出勤率和注冊信息。信中還提到,公司調查發現,黑客利用“泄露的憑據”獲取了訪問權限。
PowerSchool發言人Beth Keebler通過電子郵件向媒體確認了這一事件,但拒絕回答有關事件的具體問題。
Keebler表示:“我們已經采取了所有適當措施,以防止相關數據進一步被未經授權訪問或濫用。目前事件已得到控制,我們預計這些數據不會被分享或公開。PowerSchool的運營并未因此中斷,預計也不會受到事件影響,我們將繼續為客戶提供正常服務。”
此次網絡攻擊的具體性質仍不清楚。PowerSchool在發給受影響用戶的常見問題解答(FAQ)中表示,其并未遭遇勒索軟件攻擊,但公司為防止黑客泄露被盜數據而支付了一筆費用。PowerSchool未披露支付的具體金額。
PowerSchool還透露,此次數據泄露中暴露的信息包括姓名和地址,同時也可能包含社會安全號碼、醫療信息、成績及其他可識別個人身份的信息。
此前2024年11月,PowerSchool被提起集體訴訟,指控其未經同意非法出售學生數據以獲取商業利益。根據訴訟內容,PowerSchool所收集的學生數據總量約為“345TB,這些數據來自440個學區”。
訴訟中指出:“PowerSchool以支持教育為名義收集了這些高度敏感的信息,但實際上卻將其用于自身的商業利益。”并且,這一行為隱藏在“晦澀難懂的服務條款”之中。
參考資料:https://techcrunch.com/2025/01/08/edtech-giant-powerschool-says-hackers-accessed-personal-data-of-students-and-teachers/、https://www.bleepingcomputer.com/news/security/powerschool-hack-exposes-student-teacher-data-from-k-12-districts/