No dia 7 de janeiro, às 23h10 em Dubai, Romy Backus recebeu um e-mail da gigante de tecnologia educacional PowerSchool notificando-a de que a escola em que ela trabalha foi uma das vítimas de uma violação de dados que a empresa descobriu em 28 de dezembro. tinha acessado um sistema em nuvem que abrigava um tesouro de informações privadas de alunos e professores, incluindo números de Seguro Social, informações médicas, notas e outros dados pessoais de escolas de todo o mundo.
Dado que a PowerSchool se autodenomina o maior fornecedor de software educacional baseado em nuvem para escolas de ensino fundamental e médio – cerca de 18.000 escolas e mais de 60 milhões de alunos – na América do Norte, o impacto poderia ser “enorme”, como disse um trabalhador de tecnologia em uma área afetada. escola disse ao TechCrunch. Fontes nos distritos escolares afetados pelo incidente disseram ao TechCrunch que os hackers acessaram “todos” os dados históricos de alunos e professores armazenados em seus sistemas fornecidos pelo PowerSchool.
Backus trabalha na American School of Dubai, onde gerencia o sistema PowerSchool SIS da escola. As escolas usam esse sistema – o mesmo sistema que foi hackeado – para gerenciar dados dos alunos, como notas, frequência, matrícula e também informações mais confidenciais, como números do Seguro Social dos alunos e registros médicos.
Na manhã seguinte, após receber o e-mail da PowerSchool, Backus disse que foi ver seu gerente, acionou os protocolos da escola para lidar com violações de dados e começou a investigar a violação para entender exatamente o que os hackers roubaram de sua escola, já que a PowerSchool não forneceu quaisquer detalhes relacionados à escola dela no e-mail de divulgação.
“Comecei a pesquisar porque queria saber mais”, disse Backus ao TechCrunch. “Só me diga isso, ok, fomos afetados. Ótimo. Bem, o que foi levado? Quando foi tirado? Quão ruim é isso?
“Eles não estavam prontos para nos fornecer nenhuma das informações concretas que os clientes precisavam para fazer nossa própria diligência”, disse Backus.
Logo depois, Backus percebeu que outros administradores de escolas que usam o PowerSchool estavam tentando encontrar as mesmas respostas.
“Parte disso tinha a ver com a comunicação confusa e inconsistente que veio do PowerSchool”, de acordo com um dos meia dúzia de funcionários escolares que falaram com o TechCrunch com a condição de que nem eles nem seu distrito escolar fossem identificados.
“Para [PowerSchool]Para crédito da empresa, eles alertaram seus clientes muito rapidamente sobre isso, especialmente quando você olha para a indústria de tecnologia como um todo, mas sua comunicação carecia de qualquer informação acionável e era enganosa, na pior das hipóteses, e totalmente confusa, na melhor das hipóteses”, disse a pessoa.
Contate-nos
Você tem mais informações sobre a violação do PowerSchool? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Nas primeiras horas após a notificação da PowerSchool, as escolas estavam lutando para descobrir a extensão da violação, ou mesmo se haviam sido violadas. As listas de e-mail dos clientes do PowerSchool, onde eles costumam compartilhar informações entre si, “explodiram”, como disse Adam Larsen, superintendente assistente da Community Unit School District 220 em Oregon, Illinois, ao TechCrunch.
A comunidade rapidamente percebeu que estava sozinha. “Precisamos que nossos amigos atuem rapidamente porque eles não podem realmente confiar nas informações do PowerSchool neste momento”, disse Larsen.
“Houve muito pânico e não li o que já foi compartilhado, e depois fiz as mesmas perguntas repetidas vezes”, disse Backus.
Graças às suas próprias habilidades e conhecimento do sistema, Backus disse que conseguiu descobrir rapidamente quais dados estavam comprometidos em sua escola e começou a comparar anotações com outros funcionários de outras escolas afetadas. Quando ela percebeu que havia um padrão na violação e suspeitando que poderia ser o mesmo para outros, Backus decidiu elaborar um guia prático com detalhes, como o endereço IP específico que os hackers usaram para violar escolas e etapas. tomar para investigar o incidente e determinar se um sistema foi violado, juntamente com quais dados específicos foram roubados.
Às 16h36, horário de Dubai, em 8 de janeiro, menos de 24 horas depois que o PowerSchool notificou todos os clientes, Backus disse que enviou um Google Doc compartilhado no WhatsApp em bate-papos em grupo com outros administradores do PowerSchool baseados na Europa e em todo o Oriente Médio, que frequentemente compartilham informações e recursos para ajudar uns aos outros. Mais tarde naquele dia, depois de conversar com mais pessoas e refinar o documento, Backus disse que o postou no PowerSchool User Group, um fórum de suporte não oficial para usuários do PowerSchool que tem mais de 5.000 membros.
Desde então, o documento foi atualizado regularmente e cresceu para quase 2.000 palavras, tornando-se efetivamente viral dentro da comunidade PowerSchool. Até sexta-feira, o documento havia sido visualizado mais de 2.500 vezes, segundo Backus, que criou um link curto no Bit.ly que permite ver quantas pessoas clicaram no link. Várias pessoas compartilharam publicamente o endereço completo do documento no Reddit e em outros grupos fechados, então é provável que muitas outras pessoas tenham visto o documento. No momento em que este artigo foi escrito, havia cerca de 30 espectadores no documento.
No mesmo dia em que Backus compartilhou seu documento, Larsen publicou um conjunto de ferramentas de código aberto, bem como um vídeo de instruções, com o objetivo de ajudar outras pessoas.
O documento de Backus e as ferramentas de Larsen são um exemplo de como a comunidade de trabalhadores em escolas que foram hackeadas – e aqueles que na verdade não foram hackeados, mas ainda assim foram notificados pelo PowerSchool – se uniram para apoiar uns aos outros. Os funcionários das escolas tiveram que recorrer à ajuda mútua e responder à violação de uma forma coletiva, alimentada pela solidariedade e pela necessidade, devido à resposta lenta e incompleta da PowerSchool, de acordo com meia dúzia de trabalhadores das escolas afetadas que participaram na comunidade esforço e falaram sobre suas experiências com o TechCrunch.
Vários outros funcionários da escola apoiaram-se mutuamente em vários tópicos do Reddit. Alguns deles foram publicados no subreddit de administradores de sistemas de ensino fundamental e médio, onde os usuários devem ser examinados e verificados para poder postar.
Doug Levin, cofundador e diretor nacional de uma organização sem fins lucrativos que ajuda escolas com segurança cibernética, a K12 Security Information eXchange (K12 SIX), que publicou seu próprio FAQ sobre o hack do PowerSchool, disse ao TechCrunch que esse tipo de colaboração aberta é comum em a comunidade, mas “o incidente do PowerSchool é de tão grande alcance que é mais evidente”.
“O sector em si é bastante grande e diversificado – e, em geral, ainda não estabelecemos a infra-estrutura de partilha de informações que existe noutros sectores para incidentes de segurança cibernética”, disse Levin.
Levin sublinhou o facto de o sector da educação ter de contar com a colaboração aberta através de canais mais informais, por vezes públicos, muitas vezes porque as escolas geralmente têm falta de pessoal em termos de trabalhadores de TI e carecem de conhecimentos especializados em segurança cibernética.
Outro funcionário escolar disse ao TechCrunch que “para muitos de nós, não temos o financiamento para todos os recursos de segurança cibernética de que precisamos para responder a incidentes e temos que nos unir”.
Quando contatada para comentar, a porta-voz do PowerSchool, Beth Keebler, disse ao TechCrunch: “Nossos clientes do PowerSchool fazem parte de uma forte comunidade de segurança dedicada a compartilhar informações e ajudar uns aos outros. Somos gratos pela paciência de nossos clientes e agradecemos sinceramente àqueles que ajudaram seus colegas compartilhando informações. Continuaremos a fazer o mesmo.”
Reportagem adicional de Carly Page.