Ataque cibernético ao PowerSchool compromete milhões de registros de estudantes em escolas dos EUA.

Hackers invadiram os sistemas da PowerSchool, uma empresa de tecnologia educacional que atende mais de 50 milhões de estudantes nos EUA.

O ataque, conforme relatado pela primeira vez na quarta-feira pelo TechCrunch, comprometeu os dados históricos de estudantes e professores de vários distritos escolares. Ocorrendo em dezembro, ele explorou credenciais roubadas para violar o portal de suporte ao cliente da empresa, expondo informações sensíveis.

Os distritos escolares afetados revelaram o amplo alcance da violação. Um distrito confirmou que “todos os dados históricos de alunos e professores” foram acessados, enquanto outro distrito com quase 9.000 alunos relatou que os dados demográficos de funcionários e alunos atuais e antigos foram comprometidos, conforme relatado pelo TechCrunch.

Alguns distritos apontaram medidas de segurança inadequadas, como a ausência de autenticação multifatorial. A PowerSchool ainda não divulgou o número de escolas impactadas, disse o TechCrunch.

Beth Keebler, porta-voz da empresa, afirmou que as escolas e distritos afetados foram identificados, mas se recusou a divulgar seus nomes publicamente para o TechCrunch. A empresa ainda está determinando quais dados individuais podem ter sido acessados e não forneceu provas de sua afirmação de que os dados roubados foram excluídos.

TechCrunch relata que, de acordo com um FAQ da PowerSchool compartilhado com os clientes na semana passada, a violação expôs nomes, endereços, números de Segurança Social, informações médicas, notas e outros detalhes pessoais.

No entanto, em uma declaração fornecida à TechCrunch na terça-feira, a PowerSchool sugeriu que a maioria dos clientes afetados não teve seus dados sensíveis comprometidos.

Além disso, a TechCrunch relata que o Distrito Escolar da Cidade de Menlo Park, na Califórnia, confirmou que dados que remontam ao ano letivo de 2009-2010 foram acessados. O Distrito Escolar de Rancho Santa Fe, outro distrito da Califórnia, revelou que as credenciais de login dos professores também foram comprometidas.

Mark Racine, CEO da consultoria de tecnologia educacional RootED Solutions, alertou que a violação afeta não apenas os 18.000 clientes ativos da PowerSchool, mas também ex-clientes, conforme observado pela TechCrunch.

Ele disse que o número de estudantes afetados em alguns distritos é até dez vezes maior que o número de alunos atualmente matriculados, refletindo a retenção de dados de longo prazo envolvida.

As críticas às práticas de segurança da PowerSchool têm aumentado, com alguns distritos acusando a empresa de negligenciar proteções básicas, conforme relatado pelo TechCrunch.

A PowerSchool afirmou ao TechCrunch que implementou medidas para prevenir mais incidentes, mas não elaborou sobre sua resposta ou a eficácia de suas ações.

Uma porta-voz da PowerSchool disse ao Newsweek: “Identificamos as escolas e distritos cujos dados estavam envolvidos neste incidente, notificamos diretamente a eles e estaremos fornecendo atualizações à medida que os apoiamos nas próximas etapas.”

“A PowerSchool está no processo de implementar um plano no qual ofereceremos notificar as pessoas cujas informações pessoais estiveram envolvidas em nome de nossos clientes. Também estaremos fornecendo serviços de monitoramento de crédito ou proteção de identidade, se aplicável”, acrescentou a porta-voz.

Conforme as investigações continuam, os distritos afetados estão tomando medidas para informar o corpo docente e os estudantes sobre o ocorrido, enquanto avaliam as implicações de longo prazo para suas comunidades.