L’attacco informatico a PowerSchool compromette milioni di registrazioni studentesche nelle scuole degli Stati Uniti

I hacker hanno violato i sistemi di PowerSchool, una società di tecnologia educativa che serve oltre 50 milioni di studenti negli Stati Uniti.

L’attacco, come riportato per la prima volta mercoledì da TechCrunch, ha compromesso i dati storici degli studenti e degli insegnanti di molteplici distretti scolastici. Avvenuto a dicembre, ha sfruttato le credenziali rubate per violare il portale di assistenza clienti dell’azienda, esponendo informazioni sensibili.

I distretti scolastici coinvolti hanno rivelato l’ampia portata della violazione. Un distretto ha confermato che “tutti i dati storici di studenti e insegnanti” sono stati accessibili, mentre un altro distretto con quasi 9.000 studenti ha riferito che i dati demografici del personale e degli studenti, attuali e passati, sono stati compromessi, come riportato da TechCrunch.

Alcuni distretti hanno evidenziato misure di sicurezza inadeguate, come l’assenza di autenticazione multi-fattore. PowerSchool deve ancora rivelare il numero di scuole colpite, ha detto TechCrunch.

Beth Keebler, portavoce dell’azienda, ha dichiarato che le scuole e i distretti interessati sono stati identificati, ma ha rifiutato di condividere pubblicamente i loro nomi con TechCrunch. L’azienda sta ancora determinando quali dati personali potrebbero essere stati accessibili e non ha fornito prove a sostegno della sua affermazione che i dati rubati siano stati cancellati.

TechCrunch riporta che, secondo una FAQ di PowerSchool condivisa con i clienti la scorsa settimana, la violazione ha esposto nomi, indirizzi, numeri di previdenza sociale, informazioni mediche, voti e altri dettagli personali.

Tuttavia, in una dichiarazione fornita a TechCrunch martedì, PowerSchool ha suggerito che la maggior parte dei clienti colpiti non ha subito la compromissione di dati sensibili.

Inoltre, TechCrunch riporta che il Distretto Scolastico della Città di Menlo Park in California ha confermato che sono stati accessibili dati che risalgono all’anno scolastico 2009-2010. Il Distretto Scolastico di Rancho Santa Fe, un altro distretto californiano, ha rivelato che anche le credenziali di accesso degli insegnanti sono state compromesse.

Mark Racine, CEO della società di consulenza sulla tecnologia dell’educazione RootED Solutions, ha avvertito che la violazione riguarda non solo i 18.000 clienti attivi di PowerSchool ma anche i clienti passati, come segnalato da TechCrunch.

Ha dichiarato che il numero di studenti colpiti in alcuni distretti è fino a dieci volte superiore rispetto agli studenti attualmente iscritti, riflettendo la conservazione a lungo termine dei dati.

Le critiche sulle pratiche di sicurezza di PowerSchool si sono intensificate, con alcuni distretti che accusano l’azienda di trascurare le protezioni di base, come riportato da TechCrunch.

PowerSchool ha dichiarato a TechCrunch di aver implementato misure per prevenire ulteriori incidenti, ma non ha fornito dettagli sulla sua risposta o sull’efficacia delle sue azioni.

Un portavoce di PowerSchool ha detto a Newsweek: “Abbiamo identificato le scuole e i distretti i cui dati sono stati coinvolti in questo incidente, li abbiamo notificati direttamente e forniremo aggiornamenti man mano che li supportiamo nei prossimi passaggi”.

“PowerSchool è in fase di attuazione di un piano in cui offriremo di notificare alle persone il coinvolgimento dei loro dati personali per conto dei nostri clienti. Forniremo anche servizi di monitoraggio del credito o di protezione dell’identità, se applicabile”, ha aggiunto il portavoce.

Mentre le indagini continuano, i distretti interessati stanno adottando misure per informare il personale e gli studenti riguardo la violazione, mentre valutano le implicazioni a lungo termine per le loro comunità.