چیزی که پاوراسکول درباره نفوذ داده‌ای که میلیون‌ها دانش‌آموز را تحت تأثیر قرار داد، نمی‌گوید

چیزی که پاوراسکول درباره نفوذ داده‌ای که میلیون‌ها دانش‌آموز را تحت تأثیر قرار داد، نمی‌گوید

  • امنیت, آنچه PowerSchool در مورد نقض گسترده داده های دانشج

فقط فوریه است، اما هک اخیر غول فناوری آموزشی ایالات متحده، پاوراسکول، می‌تواند یکی از بزرگترین نقض‌های امنیتی سال باشد.

آنچه پاور اسکول درباره نقض داده‌ها که میلیون‌ها دانش‌آموز را تحت تاثیر قرار داده نمی‌گوید

What PowerSchool won’t say about its data breach affecting millions of students

فقط ماه فوریه است، اما هک اخیر غول فناوری آموزشی ایالات متحده، پاوراسکول، می‌تواند یکی از بزرگ‌ترین نقض‌های امنیتی سال شود. این شرکت که نرم‌افزارهای K-12 را به بیش از 18,000 مدرسه ارائه می‌دهد و از حدود 60 میلیون دانش‌آموز در سرتاسر آمریکای شمالی حمایت می‌کند، نقض سیستم را در اوایل ژانویه تأیید کرد. این شرکت مستقر در کالیفرنیا، که در سال 2024 توسط شرکت Bain Capital به ارزش 5.6 میلیارد دلار خریداری شد، اعلام کرد هکرها با استفاده از مدارک هک شده به پورتال پشتیبانی مشتریان خود نفوذ کردند که بعدها به اطلاعات سیستم مدیریت اطلاعات دانش‌آموزان آن، یعنی PowerSchool SIS، دسترسی داشته‌اند. این سیستم به مدارس در مدیریت سوابق دانش‌آموزان، نمرات، غیبت‌ها و ثبت‌نام کمک می‌کند.
به گفته سخنگوی پاوراسکول، بث کیبلر، این شرکت در تاریخ 28 دسامبر 2024 از یک حادثه امنیتی سایبری مطلع شد که به دسترسی غیرمجاز به برخی اطلاعات PowerSchool SIS از طریق یکی از پورتال‌های مشتری خود، PowerSource انجام شده است. پاوراسکول درباره برخی جنبه‌های نقض شفاف بوده است. کیبلر به TechCrunch گفت که پورتال PowerSource در زمان حادثه از احراز هویت چندعاملی پشتیبانی نمی‌کرد، در حالی که پاوراسکول این قابلیت را داشت. اما بسیاری از سوالات مهم هنوز بی‌پاسخ مانده‌اند. TechCrunch لیستی از سوالات مربوط به این حادثه را به پاوراسکول ارسال کرد که می‌تواند میلیون‌ها دانش‌آموز در ایالات متحده را تحت تاثیر قرار دهد. کیبلر از پاسخ به برخی سوالات امتناع کرد و گفت که تمام به‌روزرسانی‌های مربوط به این حادثه در صفحه مربوط به آن در وب‌سایت شرکت منتشر خواهد شد.
در تاریخ 29 ژانویه، این شرکت اعلام کرد که شروع به اطلاع‌رسانی به افرادی که تحت تأثیر این نقض قرار گرفته‌اند و همچنین مقامات دولتی کرده است. پاوراسکول به مشتریان خود گفت که تا نیمه ژانویه گزارشی از یک شرکت امنیت سایبری به نام CrowdStrike که برای بررسی این نقض استخدام شده بود، به اشتراک خواهد گذاشت. اما چندین منبع از مدارس آسیب‌دیده به TechCrunch گفتند که هنوز این گزارش را دریافت نکرده‌اند. مشتریان این شرکت نیز سوالات زیادی بی‌پاسخ دارند و این امر آن‌ها را مجبور به همکاری برای تحقیقات در مورد این هک کرده است.
سوالات بی‌پاسخ بسیار زیادی وجود دارد. به‌طور خاص، ما نمی‌دانیم که چند مدرسه یا دانش‌آموز تحت تأثیر قرار گرفته‌اند. TechCrunch از مدارس آسیب‌دیده درباره نقض پاوراسکول خبر گرفته است که مقیاس آن می‌تواند "بسیار بزرگ" باشد. با این حال، پاوراسکول به مکرر از ذکر تعداد مدارس و افرادی که تحت تأثیر این نقض قرار گرفته‌اند، خودداری کرده است، با این حال به TechCrunch گفته است که "مدارس و نواحی آموزشی که داده‌های آنان در این حادثه دخالت داشته، شناسایی شده‌اند." گزارش‌ها از منابع مختلف نشان می‌دهد که هکر مسئول این نقض به داده‌های شخصی بیش از 62 میلیون دانش‌آموز و 9.5 میلیون معلم دسترسی پیدا کرده است. پاوراسکول بارها از تأیید این عدد خودداری کرده است.
در حالی که پاوراسکول نمی‌خواهد عدد خاصی ارائه دهد، پرونده‌های اخیر این شرکت با نهادهای دولتی نشان می‌دهد که میلیون‌ها نفر اطلاعات شخصی‌شان در این نقض دزدیده شده است. به عنوان مثال، در پرونده‌ای با دادستان کل تگزاس، پاوراسکول تأیید کرد که تقریباً 800,000 نفر از ساکنان ایالت دچار سرقت داده شده‌اند. ارتباطات از نواحی آموزشی آسیب‌دیده تصویری کلی از اندازه نقض ارائه می‌دهد. شورای منطقه‌ای مدارس تورنتو، بزرگ‌ترین شورای آموزشی کانادا که تقریباً 240,000 دانش‌آموز را هر ساله خدمت‌رسانی می‌کند، گفت که هکر ممکن است به حدود 40 سال داده‌های دانش‌آموزی دسترسی پیدا کرده باشد و اطلاعات مربوط به تقریباً 1.5 میلیون دانش‌آموز در این نقض دزدیده شده است. به طور مشابه، منطقه آموزشی شهر منلو پارک در کالیفرنیا تأیید کرد که هکر به اطلاعات تمام دانش‌آموزان و کارکنان فعلی — که به ترتیب شامل حدود 2,700 دانش‌آموز و 400 کارمند است — و همچنین اطلاعات دانش‌آموزان و کارکنانی که به سال تحصیلی 2009-10 بازمی‌گردند، دسترسی پیدا کرده است.
همچنین ما هنوز نمی‌دانیم چه نوع داده‌هایی سرقت شده‌اند. نه تنها نمی‌دانیم چند نفر تحت تأثیر قرار گرفته‌اند، بلکه نمی‌دانیم چه مقدار یا چه نوع داده‌هایی در طول نقض به دست آمده است. در ارتباطی که اوایل ژانویه با مشتریان خود به اشتراک گذاشته شده بود، این شرکت تأیید کرد که هکر "اطلاعات شخصی حساس" دانش‌آموزان و معلمان را دزدیده است، که شامل نمرات، غیبت‌ها و اطلاعات جمعیت‌شناختی دانش‌آموزان می‌شود. همچنین در صفحه حادثه این شرکت آمده که داده‌های سرقت شده ممکن است شامل شماره‌های تأمین اجتماعی و داده‌های پزشکی نیز باشد، اما می‌گوید که "به دلیل تفاوت در نیازهای مشتری، اطلاعات استخراج‌شده برای هر فرد خاص ممکن است در میان مشتریان ما متفاوت باشد."
در نهایت، در رابطه با موضوع هک پاوراسکول، ضروری است که هوشیار باشیم و از منابع معتبر همچون وب‌سایت ما یعنی 'iwl.ir' برای کسب اطلاعات بیشتر استفاده کنیم. این موضوع امنیت سایبری بسیار جدی است و باید اقدامات مناسب برای محافظت از اطلاعات شخصی انجام شود. به‌ویژه در دنیای دیجیتال امروز، امنیت داده‌ها اهمیت بی‌نظیری دارد.

  • Bain Capital
  • cybersecurity
  • data breach
  • hacking
  • powerschool
  • Security
  • Security