7 января в 23:10 в Дубае Роми Бэкус получила электронное письмо от гиганта образовательных технологий PowerSchool, в котором она уведомлялась о том, что школа, в которой она работает, стала одной из жертв утечки данных, которую компания обнаружила 28 декабря. PowerSchool сообщила, что хакеры получил доступ к облачной системе, в которой хранилась огромная личная информация учащихся и преподавателей, включая номера социального страхования, медицинскую информацию, оценки и другие личные данные из школ по всему миру.
Учитывая, что PowerSchool позиционирует себя как крупнейший поставщик облачного образовательного программного обеспечения для школ K-12 (около 18 000 школ и более 60 миллионов учащихся) в Северной Америке, влияние может быть «огромным», как сказал один технический работник пострадавшей рассказала TechCrunch школа. Источники в школьных округах, пострадавших от инцидента, сообщили TechCrunch, что хакеры получили доступ «всем» историческим данным своих учеников и учителей, хранящимся в их системах, предоставленных PowerSchool.
Бэкус работает в Американской школе Дубая, где она управляет школьной системой PowerSchool SIS. Школы используют эту систему — ту же систему, которая была взломана — для управления данными учащихся, такими как оценки, посещаемость, зачисление, а также более конфиденциальной информацией, такой как номера социального страхования учащихся и медицинские записи.
На следующее утро, получив электронное письмо от PowerSchool, Бэкус сказала, что пошла к своему менеджеру, активировала школьные протоколы для борьбы с утечками данных и начала расследование взлома, чтобы точно понять, что хакеры украли из ее школы, поскольку PowerSchool не предоставила любые подробности, связанные с ее школой, в электронном письме с раскрытием информации.
«Я начал копать, потому что хотел узнать больше», — рассказал Бэкус TechCrunch. «Просто говорю мне, что, ладно, мы пострадали. Большой. Ну, что забрали? Когда это было сделано? Насколько это плохо?»
«Они не были готовы предоставить нам какую-либо конкретную информацию, необходимую клиентам для проведения нашей собственной проверки», — сказал Бэкус.
Вскоре Бэкус понял, что другие администраторы школ, использующих PowerSchool, пытались найти те же ответы.
«Отчасти это было связано с запутанным и непоследовательным сообщением, исходившим от PowerSchool», — сказал один из полдюжины школьных работников, которые разговаривали с TechCrunch, при условии, что ни они, ни их школьный округ не будут названы.
«К чести (PowerSchool), они на самом деле очень быстро предупредили об этом своих клиентов, особенно если посмотреть на технологическую отрасль в целом, но в их общении не было никакой полезной информации, и в худшем случае они вводили в заблуждение, а в лучшем случае просто сбивали с толку». сказал человек.
Связаться с нами
Есть ли у вас дополнительная информация о взломе PowerSchool? С нерабочего устройства вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.
В первые часы после уведомления PowerSchool школы пытались выяснить масштабы нарушения и даже было ли оно вообще нарушено. Рассылки электронной почты клиентов PowerSchool, где они обычно делятся информацией друг с другом, «взорвались», как сказал TechCrunch Адам Ларсен, помощник суперинтенданта школьного округа 220 в Орегоне, штат Иллинойс.
Сообщество быстро осознало, что они одни. «Нам нужно, чтобы наши друзья действовали быстро, потому что сейчас они не могут по-настоящему доверять информации PowerSchool», — сказал Ларсен.
«Было много паники, люди не читали то, что уже было опубликовано, а затем задавали одни и те же вопросы снова и снова», — сказал Бэкус.
Бэкус сказала, что благодаря своим собственным навыкам и знанию системы она смогла быстро выяснить, какие данные были скомпрометированы в ее школе, и начала сравнивать записи с другими работниками из других пострадавших школ. Когда она поняла, что во взломе существует закономерность, и заподозрила, что она может быть такой же и для других, Бэкус решила составить практическое руководство с подробностями, такими как конкретный IP-адрес, который хакеры использовали для взлома школ, и шаги. принять меры по расследованию инцидента и определить, была ли система взломана, а также какие именно данные были украдены.
8 января в 16:36 по дубайскому времени, менее чем через 24 часа после того, как PowerSchool уведомила всех клиентов, Бэкус сказала, что отправила общий документ Google в WhatsApp в групповых чатах с другими администраторами PowerSchool в Европе и на Ближнем Востоке, которые часто делятся информацию и ресурсы, чтобы помочь друг другу. Позже в тот же день, поговорив с большим количеством людей и доработав документ, Бэкус сказала, что разместила его в группе пользователей PowerSchool, неофициальном форуме поддержки пользователей PowerSchool, насчитывающем более 5000 участников.
С тех пор документ регулярно обновлялся и увеличился почти до 2000 слов, что стало вирусным в сообществе PowerSchool. По состоянию на пятницу документ был просмотрен более 2500 раз, по словам Бэкус, которая создала короткую ссылку Bit.ly, которая позволяет ей видеть, сколько людей перешли по ссылке. Несколько человек публично поделились полным веб-адресом документа на Reddit и других закрытых группах, так что, скорее всего, документ видели еще многие. На момент написания документа просмотрели около 30 человек.
В тот же день, когда Бэкус поделилась своим документом, Ларсен опубликовала набор инструментов с открытым исходным кодом, а также обучающее видео с целью помочь другим.
Документ Бэкуса и инструменты Ларсена являются примером того, как сообщество работников школ, которые были взломаны, а также тех, которые на самом деле не были взломаны, но все же были уведомлены PowerSchool, сплотились, чтобы поддержать друг друга. Школьным работникам пришлось прибегнуть к помощи друг другу и реагировать на нарушение краудсорсинговым способом, подпитываемым солидарностью и необходимостью, из-за медленной и неполной реакции со стороны PowerSchool, по словам полдюжины работников пострадавших школ, которые участвовали в работе сообщества. усилия и рассказали о своем опыте работы с TechCrunch.
Несколько других школьных работников поддерживали друг друга в нескольких темах Reddit. Некоторые из них были опубликованы в субреддите системных администраторов K-12, где пользователи должны быть проверены и подтверждены, чтобы иметь возможность публиковать сообщения.
Дуг Левин, соучредитель и национальный директор некоммерческой организации K12 Security Information eXchange (K12 SIX), помогающей школам в вопросах кибербезопасности, которая опубликовала собственные часто задаваемые вопросы о взломе PowerSchool, рассказал TechCrunch, что такой вид открытого сотрудничества распространен в сообщество, но «инцидент с PowerSchool настолько масштабен, что становится более очевидным».
«Сам сектор довольно большой и разнообразный — и в целом мы еще не создали инфраструктуру обмена информацией, которая существует в других секторах для инцидентов кибербезопасности», — сказал Левин.
Левин подчеркнул тот факт, что сектор образования вынужден полагаться на открытое сотрудничество через более неформальные, иногда государственные каналы, часто потому, что школы, как правило, не укомплектованы ИТ-специалистами и им не хватает специальных знаний в области кибербезопасности.
Другой школьный работник рассказал TechCrunch, что «у многих из нас нет финансирования для всех ресурсов кибербезопасности, необходимых для реагирования на инциденты, и нам приходится объединяться».
Когда к нам обратились за комментариями, представитель PowerSchool Бет Киблер рассказала TechCrunch: «Наши клиенты PowerSchool являются частью сильного сообщества безопасности, которое стремится делиться информацией и помогать друг другу. Мы благодарны нашим клиентам за терпение и искренне благодарим тех, кто решил помочь своим коллегам, поделившись информацией. Мы продолжим делать то же самое».
Дополнительный репортаж Карли Пейдж.
