من یک ویراستار امنیتی هستم و بعد از نقض داده های بزرگ 70 میلیون PowerSchool – شروع کردم به پرسیدن سؤالاتی در مورد چگونگی تأثیرگذاری فرزندانم

امیرحسین شیرانی راد5 ساعت پیشآخرین به روز رسانی: 12 فوریه 2025

0 2,657 خواندن این مطلب 5 دقیقه زمان میبرد

children in school on their laptops with teacher in front of class

من مانند بسیاری از والدین دیگر ، ماه گذشته یک ایمیل الکترونیکی از منطقه مدرسه خود خریداری کردم. وی گفت: این منطقه از یک حادثه امنیتی احتمالی که شامل PowerSchool است ، برنامه ای که برای مدرسه فرزندم استفاده کردم ، مطلع شده است.

این مشارکت آنها را دنبال می کند ، اطلاعاتی در مورد اینکه چه کسی مجاز به انجام موارد اضطراری است ، حاوی اطلاعات پزشکی است.

اولین فکر من این بود که: این زمان لازم نبود هیچ. بعد از اینکه فرزندانم مدرسه را شروع کردند ، من در نهایت باید برای امکان نقض داده ها آماده باشم ، اما آنها حتی سالهای اول خود را کامل نکردند.

ایده دوم من با حاکمان دلسوز بود زیرا من به عنوان یک والدین و ویراستار امنیتی ، سؤالات پیگیری کاملاً مفصلی خواهم داشت. هنگامی که من به سؤالات زیادی در مورد اولین وب سایت E -Mail و خصوصی Powerschool پاسخ دادم ، در مورد هرگونه تخلف از داده ها سؤال خواهم کرد ، سؤالات ویژه ای در مورد چگونگی تأثیر این تخلف بر منطقه مدرسه و خانواده ام گذاشتم.

در اینجا به شما پیشنهاد می کنم از شما بخواهید از شما بپرسید که آیا تحت تأثیر نقض داده های PowerSchool قرار گرفته اید یا اینکه فرزندان یا مدارس خود را درگیر یک وضعیت مشابه می یابید.

نقض مدرسه: چه اتفاقی افتاد و از کجا شروع به پرسیدن سؤال خواهد کرد

اولین سؤالات من سؤالاتی بزرگ و عمومی بود که همه می خواهند در مورد نقض داده ها بدانند – چه اتفاقی افتاد؟ چه زمانی متوجه نقض مدرسه مدرسه شد؟ و آنها چه کاری انجام دادند تا تخلف را شامل یا تصحیح کنند؟

این پاسخ ها در هر دو ایمیل و وب سایت پاسخ داده شد: در تاریخ 28 دسامبر 2024 ، Powerschool ، یک پورتال مشتری با محوریت مشتری ، متوجه شد که یک مشکل امنیت سایبری در دست آنها وجود دارد ، از جمله دسترسی غیرمجاز به اطلاعات دانش آموزان سیستم (SIS). بشر

PowerSchool به اشتراک گذاشت که نام اطلاعات در معرض ، اطلاعات تماس ، تاریخ تولد ، اطلاعات پزشکی محدود و شماره های تأمین اجتماعی (در برخی موارد)

هیچ عملیاتی شکسته نشد. هیچ بدافزار یا فعالیت مداوم صورت نگرفت. و PowerSchool ، پاسخ های امنیت سایبری ، کارشناسان و پروتکل های شخص سوم ، از جمله تحقیقات بلافاصله فعال شدند.

PowerSchool اطلاعات اضافی را به سایت اضافه کرد و اطلاعات اضافی E -Mail: چه نوع داده ای فاش شده است؟ چند نفر تحت تأثیر قرار گرفتند؟ افراد برای کسب اطلاعات بیشتر به کجا می روند؟ برای محافظت از اطلاعات شخصی خود چه اقداماتی لازم داریم؟ آیا امکان نظارت بر نظارت بر وام یا خدمات نظارت بر سرقت هویت امکان پذیر است و اگر چنین است ، چگونه می توانم به این خدمات دسترسی پیدا کنم؟

اگرچه آنها اعلام نکرده اند که چه تعداد از افراد تحت تأثیر قرار گرفته اند ، PowerSchool به اشتراک گذاشت که نام اطلاعات در معرض ممکن است شامل نام ، اطلاعات تماس ، تاریخ تولد ، اطلاعات محدود پزشکی و شماره های تأمین اجتماعی باشد (اطلاعات موجود در سیستم های SIS بسته به اینکه آیا منطقه ذخیره می شود).

اظهارات PowerSchool این است که اکثر افراد اطلاعات پزشکی یا شماره تأمین اجتماعی ندارند. اخبار بعدی ، 70 میلیون دانش آموز و مربی ممکن است در 6،500 منطقه تحت تأثیر قرار گیرد.

PowerSchool به نمایندگی از مشتریان به عنوان وکلا ، والدین و والدین به عنوان وکلا ، والدین و والدین اطلاع می دهد ، و همچنین خدمات محافظت از هویت رایگان ، از جمله خدمات نظارت بر اعتبار برای افراد آسیب دیده. اطلاعات مربوط به نحوه دسترسی به این خدمات در وب سایت ها موجود است. نقض داده هابشر

کجا ادامه خواهم داد به پرسیدن س questions ال: از منطقه خود چه پرسیدم

(وام تصویر: PowerSchool)

در حالی که به بیشتر سؤالات کلی من پاسخ می دهم ، من هنوز در مورد مدرسه و خانواده ام سؤالاتی داشتم.

به عنوان مثال ، آیا منطقه من یکی از کسانی بود که تحت تأثیر این تخلف قرار گرفت؟ من نمی دانستم که این است ، اما به نظر می رسد که ایمیل من به من فرستاده شده است ، و می خواستم بدانم که آیا باید به دنبال سرقت هویت یا خدمات نظارت بر اعتبار ، به خصوص برای فرزندانم ادامه دهم.

من سؤالات بیشتری داشتم ، گویی منطقه من دارای یک مدرسه با مدرسه است و اگر چنین است ، آنها در مورد فرزند من چه چیزی پنهان شده اند؟ آیا مبتنی بر ابر است یا یک پایگاه داده داخلی؟ آیا از احراز هویت با چند فاکتور استفاده می کند؟ آیا برنامه منطقه ای من به استفاده از PowerSchool ادامه می دهد؟ اگر چنین است ، چگونه آنها ما را در مورد اطلاع رسانی به ما یا در مورد این تخلف به روز می کنند؟ و چند والدین دیگر در مورد نقض قدرت مدرسه سؤال یا نگرانی داشتند؟

برخی از پاسخ هایی که من دریافت کردم تعجب آور بود و برخی دیگر به همان اندازه که امیدوار بودم اطمینان بخش نبودند ، اما می گویم هرکسی که در منطقه خود با من تماس گرفته ام کاملاً نزدیک شده و به من در گرفتن پاسخ کمک می کند. هیچ کس دیگری با هرگونه سؤال یا نگرانی در مورد این تخلف با آنها تماس نگرفته است. در کل منطقه یک والدین واحد نیست. این برای من بسیار تعجب آور بود.

عدم شفافیت در مورد اینکه تعداد زیادی از افراد تحت تأثیر PowerSchool و عدم اطلاعات در مورد زمان انتظار پشتیبانی قرار می گیرند ، و عدم اطلاعات در مورد تحقیقات CrowdStrike ، تاریکی را در اطراف این تخلف ایجاد می کند.

در پاسخ به سؤال من در مورد اینکه آیا منطقه من تحت تأثیر این تخلف قرار دارد ، من به من گفتم ، ما هنوز منتظر نتایج تحقیقات داخلی مدرسه قبل از تعیین دامنه کادرهای ما هستیم. “

این کاملاً نگران کننده به نظر می رسید ، نشان می دهد که اولین ایمیل ما تحت تأثیر قرار نگرفته است. اگر نیاز به محافظت از سرقت برای فرزندانم یا تماشای وام داشته باشم ، ترجیح می دهم زودتر شروع کنم ، نه بعداً – و می دانم که CrowdStrike ماه گذشته تحقیقات خود را برای PowerSchool انجام داده است.

مخاطبین من در منطقه من توانستند به من بگویند منطقه من چه نوع منطقه ای است ، او چه چیزی را در آن پنهان کرده است و آنها با بیمه گذاران کار می کنند. و استفاده از سوئیچ USB Titan. “

اگرچه این اطمینان بخش است ، اما هیچ تاریخ مورد انتظار در زمان ارائه آن وجود ندارد ، و در مورد تخلفات ، با توجه به نیاز به ویژگی های امنیتی اضافی ، چنین نگهبانان اضافی به طور فزاینده ای اهمیت بیشتری پیدا می کنند.

سرانجام ، ضمن برنامه ریزی برای ادامه استفاده از مدرسه PowerSchool منطقه من ، همچنین گفته می شود که آنها والدین را در مورد نقض و دستیابی به خانواده های فردی که تحت تأثیر این تخلف قرار دارند ، مطلع می کنند زیرا آنها از تحولات آگاه بودند. با این حال ، در وب سایت منطقه ای ، نامه ای وجود دارد که حاوی اطلاعات به روز شده است که مستقیماً برای والدین ارسال نمی شود.

وب سایت PowerSchool هیچ شاخصی مبنی بر اطلاع خانواده به خانواده ها ارائه نمی دهد ، و حاوی چشم پوشی از خانواده های آسیب دیده Experian یا Transunion و اطلاعات تماس مناسب آنها است. با این حال ، اگر خانواده ها انتظار ندارند با این شرکت ها تماس بگیرند ، یا اگر نمی دانند که اطلاعات تماس آنها به پایان نرسیده است ، می توانند بدون تحقق آن ، از ترک ها عبور کنند.

عدم شفافیت در مورد اینکه تعداد زیادی از افراد تحت تأثیر PowerSchool قرار دارند و یک جدول زمانی در مورد زمان انتظار پشتیبانی و تحقیقات CrowdStrike تاریکی در اطراف این تخلف ایجاد می کند ، حتی اگر تا حد زیادی حاصل نشود.

من نمی دانم چگونه پاسخ دهم ، زیرا نمی دانم چگونه پاسخ دهم. اگرچه مقابله با نقض داده ها در این اندازه هرگز آسان نیست ، اما ارزش آن را دارد که آنچه را که می توانیم بهتر انجام دهیم ، یاد بگیریم ، حتی اگر همه بهترین کار را انجام دهند – زیرا دفعه بعد خواهد بود.