Raksasa edtech AS, PowerSchool telah mulai memberitahu individu yang terkena dampak oleh retak data Desember 2024 yang kemungkinan mempengaruhi jutaan siswa dan guru di seluruh Amerika Utara.
PowerSchool mengatakan dalam pembaruan singkat pada hari Senin bahwa mereka telah memulai proses untuk mengajukan pemberitahuan pengaturan yang diperlukan secara hukum setelah retak tersebut, di mana penyerang menggunakan kredensial akun yang dicuri untuk mengakses portal dukungan pelanggan perusahaan untuk mengambil data sensitif siswa dan guru dalam jumlah besar. PowerSchool sebelumnya mengatakan kepada TechCrunch bahwa akun yang diretas tidak dilindungi dengan otentikasi multi-faktor.
PowerSchool yang berbasis di California telah mengajukan pemberitahuan retak data dengan jaksa agung Maine, yang mengkonfirmasi bahwa lebih dari 33.000 penduduk negara bagian tersebut telah memiliki data dicuri selama retak tersebut. Meskipun undang-undang negara Maine biasanya mewajibkan organisasi untuk mengungkapkan jumlah total individu yang diketahui terkena dampak dari retak, PowerSchool belum mengungkapkan angka ini.
Bleeping Computer, mengutip berbagai sumber, melaporkan bahwa para peretas yang bertanggung jawab atas retak PowerSchool secara dilegalkan mengakses data pribadi dari lebih dari 62 juta siswa dan 9,5 juta guru. PowerSchool mengatakan di situs webnya bahwa teknologinya digunakan oleh lebih dari 60 juta siswa.
Ketika ditanyai apakah angka yang dilaporkan sebanyak 62 juta siswa yang terkena dampak oleh retak tersebut akurat, juru bicara PowerSchool Beth Keebler (melalui perusahaan konsultan krisis FTI Consulting) mengatakan kepada TechCrunch bahwa perusahaan "tidak bisa mengkonfirmasi" jumlah pasti individu yang terkena dampak karena proses tinjauan data perusahaan masih berlangsung. PowerSchool menambahkan bahwa organisasi ini akan memberikan pembaruan kepada jaksa agung negara bagian saat prosesnya berlangsung, menyarankan bahwa jumlah penduduk Maine yang terkena dampak mungkin lebih tinggi dari angka yang dilaporkan 33.000 hingga saat ini.
"Ini adalah proses yang rumit karena tinjauan data untuk pelanggan on-premises memerlukan kolaborasi tambahan antara PowerSchool dan pelanggan tersebut," kata juru bicara PowerSchool.
Jutaan siswa sudah dikonfirmasi terkena dampak
Banyak pertanyaan masih belum terjawab tentang retak data PowerSchool: Masih belum jelas siapa yang bertanggung jawab atas serangan; bukti apa yang diyakini PowerSchool telah terima bahwa data yang dicuri telah dihapus; atau jumlah yang dibayar perusahaan dalam permintaan tebusan kepada para peretas. Kurangnya informasi seputar insiden ini memaksa distrik sekolah yang terkena dampak untuk bekerja sama untuk menyelidiki dampak dan skala retak tersebut.
Dalam postingan di halaman insiden mereka, PowerSchool mengatakan mereka belum bisa mengkonfirmasi jenis data sensitif apa yang diakses 'karena jawabannya bervariasi berdasarkan keputusan individu pelanggan dan tergantung pada kebijakan dan persyaratan distrik'. TechCrunch telah mendengar dari beberapa distrik sekolah yang terkena dampak retak tersebut bahwa 'semua' data historis mereka yang disimpan di PowerSchool, termasuk data sensitif seperti informasi tentang hak akses orangtua terhadap anak mereka, telah diakses
Dewan Sekolah Distrik Toronto (TDSB), yang pekan lalu mengonfirmasi bahwa para peretas telah mengakses data siswa selama hampir 40 tahun, adalah organisasi yang paling parah terkena dampak hingga saat ini, dengan data hampir 1,5 juta siswa yang diambil dalam retak tersebut. Dalam surat kepada orangtua, yang dilihat oleh TechCrunch, TDSB mengkonfirmasi data yang dicuri termasuk jenis kelamin, informasi kelas, data medis, dan rincian akomodasi.
Bleeping Computer juga mencantumkan Calgary Board of Education (CBE) di antara mereka yang terkena dampak retak tersebut, dan melaporkan bahwa data dari lebih dari 500.000 siswa telah diambil. Dalam pernyataan kepada TechCrunch, juru bicara CBE Joanne Anderson mengatakan dewan 'belum menerima konfirmasi dari PowerSchool mengenai jumlah siswa dan staf yang terkena dampak dan rincian data yang diambil'.
Distrik sekolah yang terkena dampak juga memberitahu mereka yang data mereka dicuri selama retak PowerSchool. Distrik Sekolah West Ada Idaho, yang memiliki hampir 40.000 siswa dalam kelas K-12, mengatakan dalam surat, yang dilihat oleh TechCrunch, bahwa informasi pribadi termasuk 'kesehatan keselamatan hidup dan informasi nilai untuk siswa saat ini dan mantan' telah diakses.
Alexandria City Public Schools di Virginia, yang melayani lebih dari 16.000 siswa, juga mengonfirmasi bahwa data siswa telah terpengaruh. Dalam surat yang dikirim kepada orangtua, distrik tersebut mengatakan bahwa para peretas telah mengakses informasi pribadi siswa, data medis, dan status makanan gratis.
Dalam pernyataan di situs webnya, Distrik Sekolah Kota Rochester telah mengkonfirmasi bahwa 134.000 siswa terkena dampak oleh retak PowerSchool. Distrik tersebut, yang mengawasi 46 sekolah di New York, mengatakan bahwa informasi yang diakses termasuk peringatan hukum dan diagnosa medis dan kondisi.
