Данные детей были взломаны после того, как компания, занимающаяся разработкой школьного программного обеспечения, пропустила основной шаг по обеспечению безопасности, говорится во внутреннем отчете

Взлом компании, которая помогает школам отслеживать десятки миллионов учеников, похоже, стал крупнейшей на сегодняшний день утечкой личных данных американских детей, говорят школьные чиновники и эксперты по кибербезопасности. Специально проведенный компанией CrowdStrike промежуточный аудит кибербезопасности показал, что компания, очевидно, не смогла принять элементарные меры предосторожности для защиты данных учеников, согласно копии, эксклюзивно полученной NBC News, и записям внутренних обсуждений. Компания PowerSchool наиболее известна своей информационной системой для учащихся (SIS), одной из самых распространенных образовательных программ в США, и одной из систем, подвергшихся взлому. Программное обеспечение SIS помогает школьным округам следить за учениками K-12, собирая такую информацию, как их имя, школа, день рождения, адрес, родители или опекуны. Многие районы идут дальше и добавляют такую информацию, как номер социального страхования, сведения о состоянии здоровья или дисциплинарных взысканиях. Кража данных детей считается особенно вопиющей, поскольку они, как правило, не имеют права вмешиваться в процесс их защиты. Провести прямую линию от конкретной утечки данных к конкретному случаю кражи личных данных бывает сложно, поскольку киберпреступники неоднократно перерабатывают и перепродают информацию о жертвах. Однако, согласно исследованию AARP, проведенному в 2024 году, в 2023 году кража личных данных обошлась американцам примерно в 43 миллиарда долл. «Мы осознаем значимость этого инцидента и глубоко сожалеем, что он произошел», - заявила Бет Киблер, представитель PowerSchool, в заявлении по электронной почте. «Компания PowerSchool на протяжении многих лет вкладывала значительные средства в свою программу кибербезопасности, культуру и таланты - это было тщательным и постоянным направлением, в которое компания планирует продолжать инвестировать». Киберпреступники, похищающие конфиденциальные данные, часто угрожают опубликовать их, если им не заплатят выкуп. Компания PowerSchool отказалась комментировать NBC News информацию о каких-либо требованиях вымогателей или платежах. Но во время закрытого виртуального брифинга с клиентами главный информационный директор компании Мишка Маккоуэн сказала, что компания заплатила хакеру и получила видео, на котором видно, как он удаляет украденные данные, сообщил NBC News человек, присутствовавший при разговоре. Эксперты по кибербезопасности предупреждают, что киберпреступники могут отказаться от своих обещаний не разглашать данные, и невозможно проверить, что хакер не сделал резервные копии. В декабре хакер получил, судя по всему, полный доступ к информации SIS тех школ, которые пользовались услугами службы поддержки. Хотя это не вся клиентская база PowerSchool, в результате взлома стали известны данные десятков миллионов американских детей. Хотя точные цифры пока неясны, хакер заявил, что речь идет о 62 миллионах. Впервые об этой цифре сообщил сайт технологических новостей Bleeping Computer. Частные оценки взлома показали, что компания не предприняла элементарных мер по защите данных учеников. PowerSchool наняла фирму по кибербезопасности CrowdStrike для расследования взлома. В промежуточном отчете, подготовленном CrowdStrike и распространенном среди некоторых школьных чиновников, содержание которого ранее не было обнародовано и который был приобретен NBC News, не было обнаружено никаких доказательств того, что хакеры использовали вредоносное ПО или нашли черный ход в системы PowerSchool. Вместо этого хакер просто получил пароль одного сотрудника. Это дало доступ к функции «Maintenance Access», которая позволила им загрузить миллионы личных данных детей. Согласно отчету CrowdStrike, компания даже не знала, что стала жертвой столь масштабного взлома, до конца декабря, через несколько дней после его совершения, когда хакер связался с компанией, чтобы сообщить об этом и потребовать оплату. CrowdStrike отказалась от комментариев, что соответствует отраслевой практике. В закрытом онлайн-чате, в котором участвовали руководители компании и представители школы, один из руководителей признался, что хакеры смогли получить доступ и скачать записи учеников, войдя в одну учетную запись, в которой не была включена двухфакторная аутентификация - один из самых основных стандартов кибербезопасности для любой учетной записи, особенно для той, которая имеет доступ к конфиденциальной информации. Один из участников, попросивший не называть его имени, сделал скриншот чата и поделился им с NBC News. Билл Фитцджеральд, независимый консультант по безопасности в школах, говорит, что это пример плохой безопасности, хотя и не редкость в индустрии EdTech. «Если вы не применяете многофакторную аутентификацию, это просто не лучшая практика», - сказал Фитцджеральд в интервью NBC News. «Но это происходит постоянно». Даг Левин, национальный директор K12 SIX, отраслевой некоммерческой организации, призванной помочь школам защититься от хакеров, обвинил в низких стандартах кибербезопасности так называемую EdTech - индустрию технологий, ориентированных на образование, на которую все больше полагаются школы, особенно после пандемии Ковид-19. Левин сказал NBC News, что и взлом, и отсутствие гарантий были крайностями, но все же характерны для этой отрасли. «Для отрасли, которая является неотъемлемой частью американского образа жизни, неприемлемо то, что ни школы K-12, ни их поставщики не придерживаются стандартов кибербезопасности», - сказал он, говоря о проблемах кибербезопасности, от которых страдает отрасль. «Этот инцидент уникален как по своим масштабам, так и по чувствительности данных». PowerSchool отказалась сообщить конкретные данные о том, сколько студентов пострадало от взлома, сославшись на продолжающееся расследование, но представитель компании заявил, что компания уверена, что число студентов, чьи номера социального страхования были скомпрометированы, составляет менее 25 % - цифра, которая все еще может исчисляться десятками миллионов. Терри Лофтус, директор по информационным технологиям Управления образования округа Сан-Диего, где семь районов являются клиентами PowerSchool, рассказал NBC News, что его особенно беспокоит возможность получения хакерами доступа к дополнительной информации об учениках, которую некоторые школьные округа включают в SIS. «Мы можем говорить об инвалидности и о том, какие меры поддержки принимаются для учащихся со специальным образованием», - сказал Лофтус. «Это очень конфиденциальная информация, которая представляет большую ценность для угроз, поскольку может быть перепродана различным злоумышленникам или брокерам данных». «Если мы не узнаем обратного, то, скорее всего, это будет крупнейшая утечка информации о студентах K-12», - сказал он NBC News. В некоторых случаях информация о бывших учениках также находилась в программе PowerSchool, и их личные данные также были украдены, говорится в пресс-релизе компании. Официального публичного отчета о масштабах деятельности PowerSchool нет, но у компании есть контракты с Алабамой, Северной Каролиной и Южной Каролиной, хотя использование программного обеспечения SIS в разных штатах может отличаться. Школы находятся во власти этих образовательных технологий», - сказал Повазек в интервью NBC News. Публично PowerSchool заявила, что прилагает все усилия для обеспечения высоких стандартов кибербезопасности. В 2023 году генеральный директор Хардип Гулати присоединился к тогдашней первой леди Джилл Байден на мероприятии в Белом доме, посвященном кибербезопасности EdTech. На сайте компании говорится, что она предпринимает множество шагов для защиты данных детей и учителей, включая регулярные аудиты безопасности и «обширные и постоянные тренинги по кибербезопасности для всех наших сотрудников». PowerSchool подписала еще одно обязательство, созданное некоммерческой организацией Future of Privacy Forum, в котором она обещает предпринять ряд основных шагов для защиты информации учеников. Представитель Future of Privacy Forum сообщил NBC News, что статус PowerSchool как участника соглашения в настоящее время проверяется на предмет «потенциальных нарушений обязательств компании по защите личных данных студентов».