A gigante de tecnologia educacional PowerSchool disse a seus clientes que sofreu um “incidente de segurança cibernética” que permitiu que hackers comprometessem os dados pessoais de alunos e professores em distritos escolares de ensino fundamental e médio nos Estados Unidos.
A PowerSchool, com sede na Califórnia, que foi adquirida pela Bain Capital por US$ 5,6 bilhões em 2024, é a maior fornecedora de software educacional baseado em nuvem para educação básica nos EUA, atendendo mais de 75% dos estudantes na América do Norte, de acordo com o site da empresa. A PowerSchool afirma que seu software é usado por mais de 16.000 clientes para oferecer suporte a mais de 50 milhões de estudantes nos Estados Unidos.
Em uma carta enviada aos clientes afetados na terça-feira e publicado em uma reportagem localA PowerSchool disse que hackers violaram com sucesso seu portal de suporte ao cliente PowerSource em 28 de dezembro, permitindo maior acesso ao sistema de informações escolares da empresa, PowerSchool SIS, que as escolas usam para gerenciar registros, notas, frequência e matrícula dos alunos. A carta dizia que a investigação da empresa descobriu que os hackers obtiveram acesso “usando uma credencial comprometida”.
A PowerSchool não informou quais tipos de dados foram acessados durante o incidente ou quantas pessoas foram afetadas pela violação, e nem a PowerSchool nem a Bain Capital responderam às perguntas do TechCrunch.
A natureza do ataque cibernético é desconhecida. computador tocando relata que em um FAQ enviado aos usuários afetados, a PowerSchool disse que não sofreu um ataque de ransomware, mas que a empresa estava extorquido pagar uma quantia financeira para evitar que hackers vazem os dados roubados. PowerSchool disse à publicação que nomes e endereços foram expostos na violação, mas que as informações também podem incluir números de Seguro Social, informações médicas, notas e outras informações de identificação pessoal. A PowerSchool não informou quanto a empresa pagou.
PowerSchool era processado em ação coletiva em novembro de 2024, que alega que a empresa vende ilegalmente dados de alunos sem consentimento para fins comerciais. De acordo com o processo, o acervo de dados de estudantes da empresa equivale a cerca de “345 terabytes de dados coletados em 440 distritos escolares”.
“A PowerSchool coleta essas informações altamente confidenciais sob o pretexto de apoio educacional, mas na realidade as coleta para seu próprio benefício comercial”, enquanto se esconde atrás de “termos de serviço opacos que ninguém consegue entender”, alega o processo.
