Das Toronto District School Board (TDSB) gab bekannt, dass eine kürzliche Cybersicherheitsverletzung, die PowerSchool betraf, möglicherweise persönliche Schülerdaten von 1985 bis 2024 gefährdet hat. Die am 7. Januar entdeckte Verletzung hat Anlass zur Sorge gegeben, da sie möglicherweise Auswirkungen auf medizinische Informationen, Gesundheitskartennummern usw. hat Heimatadressen.
Die Schulbehörde von Toronto meldet eine Cybersicherheitsverletzung, die sich auf Schülerdaten auswirkt
PowerSchool dient als cloudbasierte Plattform, die von vielen Schulbehörden zur Aufbewahrung von Schüler- und Personalakten verwendet wird. In einer Mitteilung an Eltern und Erziehungsberechtigte erklärte die Interimsdirektorin für Bildung, Stacey Zucker, dass die spezifischen Details der kompromittierten Daten je nach Einschreibezeitraum eines Schülers variieren.
Der TDSB gemeldet dass die Aufzeichnungen von Studenten, die vom 3. September 1985 bis zum 31. August 2017 eingeschrieben waren, möglicherweise Namen, Geburtsdaten, Geschlecht, Gesundheitskartennummern, Privatadressen, Telefonnummern und zusätzliche Informationen enthielten. Für Studierende, die von September 2017 bis zum 28. Dezember 2024 teilgenommen haben, können die abgerufenen Informationen Namen, Geburtsdaten, Geschlecht, Gesundheitskartennummern, Krankenakten wie Allergien, Wohnadressen, Telefonnummern, Wohnsitzinformationen sowie Eltern-, Angaben zum Vormund oder Betreuer sowie Kontaktinformationen für den Notfall.
Insbesondere bestätigte das TDSB, dass medizinische Informationen im Zusammenhang mit seinem Support-Services-Team, zu dem verschiedene Angehörige der Gesundheitsberufe gehören, von dem Verstoß nicht betroffen waren. Kanadische Datenschutzbehörden untersuchen den Vorfall derzeit.
Als Reaktion auf den Verstoß kündigte PowerSchool dies an bieten kostenlose Identitätsschutzdienste für zwei Jahre für alle betroffenen Studierenden und Lehrkräfte sowie zwei Jahre Bonitätsüberwachung für erwachsene Studierende und Lehrkräfte, unabhängig davon, ob ihre Sozialversicherungsnummern kompromittiert wurden. Das TDSB hat versichert, dass es keine Sozialversicherungsnummern oder Finanzdaten im PowerSchool-System speichert, was darauf hinweist, dass diese Informationen sicher bleiben.
„PowerSchool bietet zwei Jahre lang kostenlose Identitätsschutzdienste für alle Schüler und Lehrkräfte an, deren Daten betroffen waren, und bietet außerdem zwei Jahre lang kostenlose Kreditüberwachungsdienste für alle erwachsenen Schüler und Lehrkräfte an, deren Daten betroffen waren. Wir tun dies unabhängig davon, ob die Sozialversicherungsnummer einer Person exfiltriert wurde.“
-PowerSchool
TDSB-Sprecher Ryan Bird erklärte, PowerSchool habe allen Schulbehörden versichert, dass die kompromittierten Daten gelöscht und nicht anderswo gespeichert wurden. Bird äußerte anhaltende Bedenken hinsichtlich des Verstoßes und betonte die Zusammenarbeit mit PowerSchool zur Verbesserung der Systemsicherheit.
Entsprechend TechCrunchRomy Backus, eine Administratorin der American School of Dubai, erhielt eine Benachrichtigung von PowerSchool über den Verstoß und ergriff sofort Maßnahmen, um die Auswirkungen zu verstehen, da in der ersten Mitteilung nicht angegeben wurde, welche Daten kompromittiert wurden. Backus stellte einen Mangel an verwertbaren Informationen fest, was zu Verwirrung bei den Schulleitungen führte, die das Ausmaß des Verstoßes ermitteln wollten. Administratoren verschiedener betroffener Schulen wandten sich gegenseitig um Rat, was zu einem spürbaren Anstieg der Kommunikation zwischen den Benutzern auf ihren Schulen führte E-Mail-Listenserver.
Backus nutzte ihr technisches Wissen, um kompromittierte Daten an ihrer Schule zu identifizieren und erstellte anschließend einen umfassenden Leitfaden für andere Administratoren, in dem sie die Muster der Sicherheitsverletzungen und Schritte zur Untersuchung detailliert aufführte. Dieser Leitfaden wurde in PowerSchool-Benutzerforen weit verbreitet, sammelte Tausende von Ansichten und wurde zu einer wichtigen Ressource für Schulen, die mit den Folgen des Verstoßes zurechtkommen.
Doug Levin, Mitbegründer von K12 Security Information eXchange, wies auf die Bedeutung einer solchen Zusammenarbeit innerhalb der Bildungsgemeinschaft hin, insbesondere bei groß angelegten Vorfällen wie dem PowerSchool-Verstoß, da es Schulen oft an robusten Cybersicherheitsressourcen mangelt.
PowerSchool-Sprecherin Beth Keebler würdigte das unterstützende Umfeld, das unter den Kunden geschaffen wurde, und hob die Kooperationsbemühungen während der Sicherheitskrise hervor.
Mit der letzten Aktualisierung hat das TDSB aktuellen und ehemaligen Studierenden versichert, dass es keinen fortlaufenden unbefugten Zugriff auf Daten gibt.
Hervorgehobener Bildnachweis: PowerSchool
