De Toronto District School Board (TDSB) heeft aangekondigd dat een recente inbreuk op de cyberbeveiliging die PowerSchool treft, tussen 1985 en 2024 de persoonlijke gegevens van studenten in gevaar kan hebben gebracht. De inbreuk, ontdekt op 7 januari, heeft aanleiding gegeven tot bezorgdheid omdat deze mogelijk gevolgen heeft voor medische informatie, gezondheidskaartnummers en thuisadressen.
Het schoolbestuur van Toronto meldt een inbreuk op de cyberbeveiliging die gevolgen heeft voor de gegevens van leerlingen
PowerSchool fungeert als een cloudgebaseerd platform dat door veel schoolbesturen wordt gebruikt om leerling- en personeelsgegevens bij te houden. In een mededeling aan ouders en voogden legde interim-onderwijsdirecteur Stacey Zucker uit dat de specifieke details van de gecompromitteerde gegevens variëren afhankelijk van de inschrijvingsperiode van een student.
De TDSB gemeld dat gegevens voor studenten die zijn ingeschreven tussen 3 september 1985 en 31 augustus 2017 mogelijk namen, geboortedata, geslachten, gezondheidskaartnummers, thuisadressen, telefoonnummers en aanvullende informatie bevatten. Voor studenten die deelnamen van september 2017 tot en met 28 december 2024 kan de geraadpleegde informatie namen, geboortedata, geslachten, gezondheidskaartnummers, medische dossiers zoals allergieën, thuisadressen, telefoonnummers, verblijfsgegevens en oudergegevens omvatten. gegevens van uw voogd of verzorger en contactgegevens voor noodgevallen.
De TDSB bevestigde met name dat medische informatie met betrekking tot haar ondersteunende dienstenteam, waartoe verschillende gezondheidswerkers behoren, niet door de inbreuk werd getroffen. Canadese privacyfunctionarissen onderzoeken momenteel het incident.
Als reactie op de inbreuk heeft PowerSchool aangekondigd dat dit zal gebeuren voorzien gratis identiteitsbeschermingsdiensten gedurende twee jaar voor alle getroffen studenten en docenten, samen met twee jaar kredietmonitoring voor volwassen studenten en docenten, ongeacht of hun burgerservicenummer in gevaar is gebracht. De TDSB heeft verzekerd dat zij geen burgerservicenummers of financiële gegevens opslaat in het PowerSchool-systeem, wat aangeeft dat dergelijke informatie veilig blijft.
“PowerSchool zal twee jaar gratis identiteitsbeschermingsdiensten aanbieden voor alle studenten en docenten van wie de informatie betrokken was, en zal ook twee jaar gratis kredietbewakingsdiensten aanbieden voor alle volwassen studenten en docenten van wie de informatie betrokken was. We doen dit ongeacht of het burgerservicenummer van een persoon is geëxfiltreerd.”
-PowerSchool
TDSB-woordvoerder Ryan Bird verklaarde dat PowerSchool alle schoolbesturen heeft verzekerd dat de gecompromitteerde gegevens zijn verwijderd en niet elders zijn opgeslagen. Bird uitte zijn voortdurende bezorgdheid over de inbreuk en benadrukte de samenwerking met PowerSchool om de systeembeveiliging te verbeteren.
Volgens TechCrunchRomy Backus, een beheerder van de American School of Dubai, ontving een melding van PowerSchool over de inbreuk en ondernam onmiddellijk stappen om de impact ervan te begrijpen, aangezien in de eerste communicatie niet werd gespecificeerd welke gegevens waren aangetast. Backus merkte een gebrek aan bruikbare informatie op, wat leidde tot verwarring onder schoolbestuurders die probeerden de omvang van de inbreuk vast te stellen. Beheerders van verschillende getroffen scholen wendden zich tot elkaar voor begeleiding, wat resulteerde in een merkbare toename van de communicatie tussen gebruikers op hun school e-mail listservs.
Backus gebruikte haar technische kennis om gecompromitteerde gegevens op haar school te identificeren en creëerde vervolgens een uitgebreide handleiding voor collega-beheerders waarin de inbreukpatronen en stappen voor onderzoek werden beschreven. Deze gids werd breed gedeeld op PowerSchool-gebruikersforums, kreeg duizenden views en werd een cruciale hulpbron voor scholen die door de nasleep van de inbreuk moesten navigeren.
Doug Levin, mede-oprichter van de K12 Security Information eXchange, merkte het belang op van een dergelijke samenwerking binnen de onderwijsgemeenschap, vooral tijdens grootschalige incidenten zoals de PowerSchool-inbreuk, omdat scholen vaak geen robuuste cyberbeveiligingsmiddelen hebben.
PowerSchool-woordvoerder Beth Keebler erkende de ondersteunende omgeving die onder zijn klanten werd bevorderd en benadrukte de gezamenlijke inspanningen tijdens de veiligheidscrisis.
Vanaf de laatste update heeft de TDSB huidige en voormalige studenten verzekerd dat er geen voortdurende ongeoorloofde toegang tot gegevens plaatsvindt.
Uitgelichte afbeeldingscredits: PowerSchool
