El gigante del software educativo PowerSchool ha confirmado que sufrió un incidente de ciberseguridad que permitió a un actor malicioso robar la información personal de los estudiantes y profesores del distrito escolar utilizando su plataforma PowerSchool SIS.
PowerSchool es un proveedor de soluciones de software basadas en la nube para escuelas y distritos K-12 que brinda soporte a más de 60 millones de estudiantes y más de 18 000 clientes en todo el mundo. La empresa ofrece una gama completa de servicios para ayudar a los distritos escolares a operar, incluida la inscripción, las comunicaciones, la asistencia, la gestión del personal, los sistemas de aprendizaje, los análisis y las plataformas financieras.
Aunque los productos de la compañía son conocidos principalmente por los distritos escolares y su personal, PowerSchool también aprovecha Naviance, una plataforma utilizada por muchos distritos escolares K-12 en los Estados Unidos para brindar a los estudiantes herramientas personalizadas de planificación universitaria, profesional y de vida.
Objetivo de ataques de robo de datos
En una notificación de incidente de ciberseguridad enviada a los clientes el martes por la tarde y obtenida por BleepingComputer, PowerSchool dice que tuvo conocimiento de la infracción por primera vez el 28 de diciembre de 2024, después de que la información del cliente de PowerSchool SIS fuera robada a través de su plataforma de ciberseguridad PowerSource.
PowerSchool SIS es un Sistema de información estudiantil (SIS) que se utiliza para administrar registros, calificaciones, asistencia, registro y más de los estudiantes.
“Como punto de contacto principal para su distrito escolar, nos comunicamos con usted para informarle que el 28 de diciembre de 2024, PowerSchool se dio cuenta de un posible incidente de ciberseguridad que involucra acceso no autorizado a cierta información a través de uno de nuestros portales de atención al cliente centrados en la comunidad. , PowerSource”, se lee en una notificación compartida con BleepingComputer.
Después de investigar el incidente, se determinó que el actor de la amenaza accedió al portal utilizando credenciales comprometidas y robó datos utilizando una herramienta de atención al cliente.
“La parte no autorizada pudo utilizar una credencial comprometida para acceder a uno de nuestros portales de atención al cliente centrados en la comunidad llamado PowerSource”, dijo PowerSchool a BleepingComputer en un comunicado.
“PowerSource contiene una herramienta de acceso a mantenimiento que permite a los ingenieros de PowerSchool acceder a las instancias SIS de los clientes para obtener soporte continuo y solucionar problemas de rendimiento”.
Usando esta herramienta, el atacante exportó tablas de las bases de datos “Estudiantes” y “Profesores” de PowerSchool SIS a un archivo CSV, que luego fue robado.
PowerSchool confirmó que los datos robados contienen principalmente datos de contacto como nombres y direcciones. Sin embargo, para algunos distritos, esto también puede incluir números de Seguro Social (SSN), información de identificación personal (PII), información médica y calificaciones.
Un portavoz de PowerSchool le dijo a BleepingComputer que los tickets de los clientes, las credenciales de los clientes o los datos del foro no quedaron expuestos ni exfiltrados en la infracción.
La compañía también enfatizó que no todos los clientes de PowerSchool SIS se han visto afectados y que anticipa que solo un subconjunto de clientes necesitará emitir notificaciones.
En respuesta al incidente, la empresa contrató a expertos en ciberseguridad externos, incluido CrowdStrike, para investigar y mitigar el incidente.
Esto incluye rotar contraseñas para todas las cuentas del Portal de soporte al cliente de PowerSource e implementar políticas de contraseña más estrictas.
En unas preguntas frecuentes inusualmente transparentes a las que solo pueden acceder los clientes, PowerSchool también confirmó que no se trataba de un ataque de ransomware, sino que habían pagado un rescate para evitar que se divulgaran los datos.
“PowerSchool ha contratado los servicios de CyberSteward, un asesor profesional con amplia experiencia en la negociación con actores de amenazas”, se lee en una pregunta frecuente vista por BleepingComputer.
“A través de su consejo, PowerSchool recibió garantías razonables del actor malicioso de que los datos fueron eliminados y no existen copias adicionales”.
Cuando se le preguntó cuánto se pagó a los actores de amenazas, BleepingComputer respondió: “Dada la naturaleza sensible de nuestra investigación, no podemos proporcionar información sobre ciertos detalles. »
Aunque la compañía dijo que recibió un video que muestra que los datos habían sido eliminados, como ocurre con todos los ataques de extorsión de datos, nunca hay una garantía del cien por ciento de que este sea el caso.
La compañía ahora monitorea continuamente la web oscura para determinar si se han filtrado datos o se filtrarán en el futuro.
Para los afectados, PowerSchool ofrece servicios de seguimiento crediticio a los adultos afectados y servicios de protección de identidad a los menores afectados.
PowerSchool dice que sus operaciones no se ven afectadas y los servicios continúan como de costumbre a pesar de la infracción.
La compañía ahora está notificando a los distritos escolares afectados y proporcionará un paquete de comunicaciones que incluye correos electrónicos de concientización, temas de conversación y preguntas frecuentes para ayudar a informar a los maestros y familias sobre el incidente.
Determina si estás afectado
en un Hilo de Reddit Con respecto al incidente, el personal de TI del distrito escolar dijo que los clientes pueden detectar si se han robado datos verificando si un usuario de mantenimiento llamado “200A0” aparece en los archivos ps-log-audit.
“Puede correlacionar el acceso a los registros de auditoría con las exportaciones masivas de datos por hora en registros de datos masivos”. aconsejó a un cliente de PowerSchool SIS.
Otro cliente informó que sus registros mostraban que las tablas de Estudiantes y Profesores se exportaron el 22 de diciembre de 2024.
“Oh, genial, tengo registros del 22/12 para Students_export.csv y Teachers_export.csv de una dirección IP ucraniana”, dijo otro cliente.
BleepingComputer se enteró de que la compañía también proporcionará guías detalladas para que los clientes verifiquen si se han visto afectados y determinen qué se ha descargado.
La investigación está en curso y se espera que la empresa de ciberseguridad CrowdStrike publique un informe final antes del 17 de enero de 2025.
PowerSchool dice que está comprometido con la transparencia y compartirá el informe con los distritos escolares afectados cuando esté listo.
Actualizado el 25/01/07: Se corrigió un error tipográfico que indicaba incorrectamente que las credenciales de los clientes, los tickets y la base de datos del foro fueron exfiltrados.