آنچه پاوراسکول درباره نقض داده‌ها و تأثیر آن بر میلیون‌ها دانش‌آموز نمی‌گوید!

در سال 2025، تنها چند ماه از آغاز سال گذشته است، اما هک اخیر غول فناوری آموزشی ایالات متحده، PowerSchool، به یکی از بزرگ‌ترین نقض‌های داده‌های آموزشی در سال‌های اخیر تبدیل شده است. این شرکت که نرم‌افزار K-12 را به بیش از 18،000 مدرسه برای حمایت از حدود 60 میلیون دانش‌آموز در آمریکای شمالی ارائه می‌دهد، در اوایل ژانویه 2025 این نقض داده را اعلام کرد.

شرکت مستقر در کالیفرنیا که توسط Bain Capital به قیمت 5.6 میلیارد دلار خریداری شده است، اعلام کرد که یک هکر ناشناس با استفاده از یک اعتبار مخدوش شده، به پرتال پشتیبانی مشتریان خود در دسامبر 2024 نفوذ کرده و به سیستم اطلاعات مدرسه‌ای PowerSchool SIS دسترسی پیدا کرده است. این سیستم برای مدیریت سوابق دانش‌آموزان، نمرات، حضور و ثبت نام استفاده می‌شود.

در حالی که PowerSchool درباره برخی جنبه‌های این نقض اطلاعاتی ارائه داده است، سوالات مهمی همچنان بی‌پاسخ مانده‌اند. به عنوان مثال، این شرکت به TechCrunch اعلام کرد که پرتال PowerSource که هک شده است، در زمان حادثه از احراز هویت چندعاملی پشتیبانی نمی‌کرد.

TechCrunch به PowerSchool لیستی از سوالات برجسته درباره این حادثه ارسال کرد که احتمالاً میلیون‌ها دانش‌آموز را تحت تأثیر قرار می‌دهد. سخنگوی PowerSchool، بت کیبلر، از پاسخ به سوالات خودداری کرد و گفت که تمامی به‌روزرسانی‌ها در صفحه حادثه شرکت منتشر خواهد شد. در 29 ژانویه، این شرکت اعلام کرد که شروع به اطلاع‌رسانی به افرادی که تحت تأثیر این نقض قرار گرفته‌اند و مقامات دولتی کرده است.

بسیاری از مشتریان این شرکت نیز سوالات بی‌پاسخ زیادی درباره این نقض دارند و این موضوع آنها را مجبور کرده است که به صورت مشترک برای بررسی هک همکاری کنند.

جزئیات هک PowerSchool

• گزارش اولیه: در اوایل مارس، PowerSchool گزارشی از نقض داده‌ها را منتشر کرد که توسط CrowdStrike تهیه شده بود.
• دسترسی هکر: CrowdStrike تأیید کرد که هکر از اوت 2024 به سیستم‌های PowerSchool دسترسی داشته است.

سوالات بی‌پاسخ

در ادامه به چند سوال کلیدی که هنوز جوابی برای آنها وجود ندارد اشاره می‌کنیم:

• تعداد افراد تحت تأثیر: PowerSchool هنوز اعلام نکرده است که چند دانش‌آموز یا کارمند تحت تأثیر این نقض قرار گرفته‌اند. مشتریان PowerSchool گزارش داده‌اند که مقیاس این نقض می‌تواند «بسیار بزرگ» باشد.
• نوع داده‌های به سرقت رفته: اطلاعات دقیقی از نوع داده‌های به سرقت رفته هم ارائه نشده است. PowerSchool در یک ارتباط به مشتریان خود اعلام کرده که هکر اطلاعات «حساس شخصی» دانش‌آموزان و معلمان را به سرقت برده است.

به گفته منابع متعدد، داده‌های به سرقت رفته شامل اطلاعات حساس دانش‌آموزان مانند حقوق دسترسی والدین، دستورات restraining و زمان‌هایی که دانش‌آموزان باید داروهای خود را مصرف کنند، بوده است.

تحقیقات و پاسخگویی

PowerSchool به TechCrunch اعلام کرده که این سازمان «گام‌های مناسب» را برای جلوگیری از انتشار داده‌های به سرقت رفته برداشته است. این در حالی است که این شرکت تأیید کرده که با یک شرکت پاسخگویی به حوادث سایبری برای مذاکره با تهدیدکنندگان همکاری کرده است.

از طرف دیگر، این شرکت از تأیید یا رد اینکه چه مقدار پول به هکر پرداخت شده است، خودداری کرده است. از این رو، مشخص نیست که آیا PowerSchool به این هکر پولی پرداخت کرده است یا خیر.

نتیجه‌گیری

این حادثه نشان‌دهنده ضعف‌های امنیتی در سیستم‌های فناوری آموزشی است و سوالات زیادی در مورد امنیت داده‌ها و نحوه حفاظت از اطلاعات حساس دانش‌آموزان و معلمان مطرح کرده است. با توجه به ابعاد این نقض، نیاز به اقدامات جدی برای بهبود امنیت داده‌های آموزشی احساس می‌شود.

آیا اطلاعات بیشتری درباره نقض داده‌های PowerSchool دارید؟ ما علاقه‌مند به شنیدن نظرات شما هستیم.