美国教育科技巨头PowerSchool向客户披露，其遭遇了一起“网络安全事件”，黑客窃取了美国各地中小学（K-12）学区学生和教师的个人数据。

PowerSchool总部位于加州，在2024年被贝恩资本以56亿美元收购。根据公司官网信息，PowerSchool是美国最大的K-12教育云端软件提供商，为北美超过75%的学生提供服务。PowerSchool表示，其软件被超过1.6万家客户使用，支持超过5000万名学生的教育管理。

PowerSchool于周二向受影响客户发送了一封信，该信随后被媒体曝光。信中，PowerSchool称其于2024年12月28日确认，黑客成功攻破了Power Source客户支持门户，并进一步入侵了公司的学校信息系统PowerSchool SIS。学校通常通过该系统管理学生记录、成绩、出勤率和注册信息。信中还提到，公司调查发现，黑客利用“泄露的凭据”获取了访问权限。

PowerSchool发言人Beth Keebler通过电子邮件向媒体确认了这一事件，但拒绝回答有关事件的具体问题。

Keebler表示：“我们已经采取了所有适当措施，以防止相关数据进一步被未经授权访问或滥用。目前事件已得到控制，我们预计这些数据不会被分享或公开。PowerSchool的运营并未因此中断，预计也不会受到事件影响，我们将继续为客户提供正常服务。”

此次网络攻击的具体性质仍不清楚。PowerSchool在发给受影响用户的常见问题解答（FAQ）中表示，其并未遭遇勒索软件攻击，但公司为防止黑客泄露被盗数据而支付了一笔费用。PowerSchool未披露支付的具体金额。

PowerSchool还透露，此次数据泄露中暴露的信息包括姓名和地址，同时也可能包含社会安全号码、医疗信息、成绩及其他可识别个人身份的信息。

此前2024年11月，PowerSchool被提起集体诉讼，指控其未经同意非法出售学生数据以获取商业利益。根据诉讼内容，PowerSchool所收集的学生数据总量约为“345TB，这些数据来自440个学区”。

诉讼中指出：“PowerSchool以支持教育为名义收集了这些高度敏感的信息，但实际上却将其用于自身的商业利益。”并且，这一行为隐藏在“晦涩难懂的服务条款”之中。

参考资料：https://techcrunch.com/2025/01/08/edtech-giant-powerschool-says-hackers-accessed-personal-data-of-students-and-teachers/、https://www.bleepingcomputer.com/news/security/powerschool-hack-exposes-student-teacher-data-from-k-12-districts/

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。