距离 2025 年只有几个月的时间,但最近对美国教育科技巨头 PowerSchool 的黑客攻击有望成为近年来最大的教育数据泄露事件之一。
PowerSchool 为 18,000 多所学校提供 K-12 软件,为北美约 6000 万学生提供支持,该公司于 2025 年 1 月初首次披露了数据泄露事件。
这家被贝恩资本以 56 亿美元收购的总部位于加利福尼亚州的公司表示,一名身份不明的黑客于 2024 年 12 月使用单个泄露的凭据入侵了其客户支持门户,从而允许进一步访问该公司的学校信息系统 PowerSchool SIS,学校使用它来管理学生记录、成绩、出勤和注册。
虽然 PowerSchool 对泄露的某些方面持开放态度(例如,PowerSchool 告诉 TechCrunch,被泄露的 PowerSource 门户在事件发生时不支持多因素身份验证),但几个月过去了,几个重要问题仍未得到解答。
TechCrunch 向 PowerSchool 发送了一份关于该事件的悬而未决的问题清单,该事件可能会影响数百万学生。
PowerSchool 发言人 Beth Keebler 拒绝回答我们的问题,称与泄露相关的所有更新都将发布在公司的事件页面上。1 月 29 日,该公司表示开始通知受数据泄露影响的个人和州监管机构。
该公司的许多客户也对此次泄露事件存在悬而未决的问题,这迫使受影响的人共同努力调查黑客攻击。
3 月初,PowerSchool 发布了由 CrowdStrike 准备的数据泄露事后分析,两个月后 PowerSchool 客户被告知将发布数据泄露。虽然报告中的许多细节都是已知的,但 CrowdStrike 证实,早在 2024 年 8 月,黑客就已经访问了 PowerSchool 的系统。
以下是一些仍未解答的问题。
PowerSchool 没有透露有多少学生或教职员工受到影响
TechCrunch 从 PowerSchool 客户那里听说,数据泄露的规模可能“巨大”。但 PowerSchool 一再拒绝透露有多少学校和个人受到影响,尽管它告诉 TechCrunch,它已经“确定了数据涉及此次事件的学校和学区”。
Bleeping Computer 援引多个消息来源在 1 月份报道称,负责 PowerSchool 泄露的黑客访问了超过 6200 万名学生和 950 万名教师的个人数据。
当 TechCrunch 询问时,PowerSchool 拒绝确认这个数字是否准确。
然而,PowerSchool 向州总检察长提交的文件以及来自被泄露学校的通信表明,数百万人的个人信息可能在数据泄露中被盗。
在提交给德克萨斯州总检察长的一份文件中,PowerSchool 证实,近 800,000 名该州居民的数据被盗。1 月份提交给缅因州总检察长的一份文件称,至少有 33,000 名居民受到影响,但此后已更新为受影响的人数“待定”。
多伦多地区教育局是加拿大最大的教育局,每年为大约 240,000 名学生提供服务,它表示,黑客可能已经访问了大约 40 年的学生数据,其中近 150 万学生的数据在泄露中被窃取。
加利福尼亚州门洛帕克市学区还证实,黑客访问了所有在校学生和教职员工的信息——分别约有 2,700 名学生和 400 名教职员工——以及可追溯到 2009-2010 学年开始的学生和教职员工。
PowerSchool 没有透露哪些类型的数据被盗
我们不仅不知道有多少人受到影响,而且我们也不知道在泄露期间访问了多少或哪些类型的数据。
在 TechCrunch 看到的 1 月份与客户共享的通信中,PowerSchool 表示,黑客窃取了学生和教师的“敏感个人信息”,包括学生的成绩、出勤率和人口统计数据。该公司的事件页面还指出,被盗数据可能包括社会安全号码和医疗数据,但表示“由于客户需求的差异,为任何给定个人泄露的信息在我们的客户群中各不相同。
TechCrunch 从受该事件影响的多所学校那里听说,他们“所有”的历史学生和教师数据都遭到了泄露。
一位在受影响学区工作的人告诉 TechCrunch,被盗数据包括高度敏感的学生数据,例如有关父母对孩子的访问权限、限制令的信息,以及有关某些学生何时需要服药的信息。
一位消息人士在 2 月份接受 TechCrunch 采访时透露,PowerSchool 已经为受影响的学校提供了一个“SIS 自助服务”工具,该工具可以查询和汇总 PowerSchool 客户数据,以显示其系统中存储了哪些数据。然而,PowerSchool 告诉受影响的学校,该工具“可能无法准确反映事件发生时泄露的数据”。
目前尚不清楚 PowerSchool 是否有自己的技术手段(例如日志)来确定哪些类型的数据是从特定学区被盗的。
PowerSchool 不愿透露它向负责此次泄露的黑客支付了多少费用
PowerSchool 告诉 TechCrunch,该组织已采取“适当措施”来防止被盗数据被公开。在与客户共享的通信中,该公司证实,它与一家网络勒索事件响应公司合作,与负责违规行为的威胁行为者进行谈判。
这几乎证实了 PowerSchool 向破坏其系统的攻击者支付了赎金。然而,当 TechCrunch 询问时,该公司拒绝透露它支付了多少费用,或者黑客要求多少。
我们不知道 PowerSchool 收到了什么证据证明被盗数据已被删除
PowerSchool 的基布勒告诉 TechCrunch,该公司“预计数据不会被共享或公开”,并且“认为数据已被删除,没有进一步复制或传播”。
然而,该公司一再拒绝透露它收到了哪些证据表明被盗数据已被删除。早期报道称,该公司收到了视频证据,但 PowerSchool 在接受 TechCrunch 询问时不予证实或否认。
即便如此,删除证明也绝不能保证黑客仍然没有拥有数据;英国最近取缔了 LockBit 勒索软件团伙,发现有证据表明该团伙仍持有属于已支付赎金要求的受害者的数据。
数据泄露背后的黑客尚不清楚
关于 PowerSchool 网络攻击的最大未知数之一是谁负责。该公司一直在与黑客沟通,但拒绝透露他们的身份(如果知道)。PowerSchool 与之合作谈判的加拿大事件响应组织 CyberSteward 没有回应 TechCrunch 的问题。
CrowdStrike 的法医报告没有回答问题
在 PowerSchool 于 3 月发布其 CrowdStrike 法医报告后,受数据泄露影响的学校的一名人士告诉 TechCrunch,调查结果“令人印象深刻”。
该报告证实,该漏洞是由被盗用的凭证引起的,但如何获取和使用被盗用凭证的根本原因仍不清楚。
总部位于波士顿的教育技术咨询公司 RootED Solutions 的首席执行官马克·拉辛 (Mark Racine) 告诉 TechCrunch,虽然该报告提供了“一些细节”,但没有足够的信息来“了解出了什么问题”。
目前尚不清楚 PowerSchool 的违规行为实际上可以追溯到多远
CrowdStrike 报告中的一个新细节是,一名黑客在 2024 年 8 月 16 日至 2024 年 9 月 17 日期间访问了 PowerSchool 的网络。
该访问权限是使用 12 月泄露时使用的相同泄露凭据获得的,黑客访问了 PowerSchool 的 PowerSource,该客户支持门户在 12 月遭到入侵,以访问 PowerSchool 的学校信息系统。
然而,CrowdStrike 表示,没有足够的证据得出结论,由于日志不足,这是对 12 月泄露事件负责的同一威胁行为者。
但调查结果表明,这名黑客——或多名黑客——可能在检测到访问之前已经访问了 PowerSchool 的网络数月。
