Un incident de cybersécurité a frappé PowerSchool, mettant potentiellement en péril les données sensibles de millions d’élèves et d’enseignants. Bien que la situation soit grave, l’entreprise prend des mesures pour résoudre le problème et protéger les informations concernées. Ce hack soulève des questions cruciales sur la sécurité des données dans le secteur éducatif.
Le géant des logiciels éducatifs PowerSchool a été victime d’un piratage qui pourrait mettre en danger les données sensibles des élèves et des enseignants des établissements K-12. Il n’est pas clair combien de personnes ont été affectées, mais la plateforme PowerSchool Student Information System (SIS) contient les données de plus de 60 millions d’élèves et 18 000 clients.
Certaines des données divulguées pourraient se limiter à des noms et des adresses, mais certains districts scolaires ont pu être plus durement touchés, avec des données telles que les numéros de sécurité sociale (SSN), des informations personnellement identifiables (PII), des notes et des informations médicales volées, comme le rapporte Bleeping Computer.
PowerSchool indique qu’elle a pris connaissance de la situation le mois dernier. Elle a envoyé un message aux clients concernés, déclarant : “En tant que principal point de contact pour votre district scolaire, nous souhaitons vous informer qu’à partir du 28 décembre 2024, PowerSchool a découvert un incident potentiel de cybersécurité impliquant un accès non autorisé à certaines informations via l’un de nos portails d’assistance à la clientèle, PowerSource.”
L’attaquant a accédé au système en utilisant des identifiants compromis, puis a volé les données grâce à un “export data manager”. Les hackers ont utilisé un outil d’accès à la maintenance utilisé par les ingénieurs de PowerSchool pour l’assistance et le dépannage des clients.
Une fois à l’intérieur, le hacker a regroupé toutes les données dans un fichier CSV pour les voler. Cependant, toutes les données n’ont pas été prises, car PowerSchool a également informé Bleeping Computer que des données telles que les tickets clients, les identifiants clients et les données des forums n’ont pas été exposées. De plus, l’entreprise a précisé que toutes les données des clients PowerSchool SIS n’avaient pas été compromises, et seuls certains seront informés que leurs données ont été divulguées — il est toutefois incertain combien pourraient potentiellement être affectés par cet incident de cybersécurité.
La société prend cette situation très au sérieux, en changeant tous les mots de passe et en appliquant des directives plus strictes. Elle a également contacté des experts en cybersécurité, notamment CrowdStrike, pour gérer la situation. PowerSchool a également collaboré avec CyberSteward, un conseiller professionnel ayant une vaste expérience dans le traitement des acteurs malveillants.
Bien que cet incident ne soit pas apparemment une attaque par ransomware, PowerSchool a fini par payer une rançon pour empêcher la divulgation des données. Les attaquants ont donné à PowerSchool des assurances logiques que les données volées avaient été effacées. PowerSchool a vu les données être effacées en vidéo, mais il y a toujours une chance que cela n’ait pas été complètement fait — espérons que oui.
Malgré l’incident, PowerSchool continue de fonctionner et propose des services de surveillance de crédit aux adultes concernés. Si vous souhaitez savoir si votre district scolaire a été affecté, consultez le guide proposé dans cette couverture de Bleeping Computer.