Le géant de la technologie éducative PowerSchool a informé les clients qu'il avait subi un "incident de cybersécurité" qui a permis aux pirates de compromettre les données personnelles des élèves et des enseignants des districts scolaires de la maternelle à la 12e année à travers les États-Unis.
PowerSchool, basé en Californie et acquis par Bain Capital pour 5,6 milliards de dollars en 2024, est le plus grand fournisseur de logiciels éducatifs basés sur le cloud pour l'enseignement primaire et secondaire aux États-Unis, desservant plus de 75% des élèves en Amérique du Nord, selon le site web de l'entreprise. PowerSchool indique que son logiciel est utilisé par plus de 16 000 clients pour soutenir plus de 50 millions d'élèves aux États-Unis.
Dans une lettre envoyée aux clients concernés le mardi et publiée dans un rapport d'actualités local, PowerSchool a déclaré avoir identifié le 28 décembre que des pirates avaient réussi à infiltrer son portail de support client PowerSource, permettant un accès ultérieur au système d'information scolaire de l'entreprise, PowerSchool SIS, que les écoles utilisent pour gérer les dossiers des élèves, les notes, l'assiduité et l'inscription. La lettre indiquait que l'enquête de l'entreprise avait révélé que les pirates avaient accédé "en utilisant un code d'accès compromis".
PowerSchool n'a pas précisé quels types de données ont été consultés lors de l'incident ni combien de personnes sont concernées par la violation.
Le porte-parole de PowerSchool, Beth Keebler, a confirmé l'incident dans un e-mail à TechCrunch, mais a refusé de répondre à des questions spécifiques sur l'incident. Bain Capital a répondu aux questions de TechCrunch.
"Nous avons pris toutes les mesures appropriées pour empêcher que les données concernées ne soient plus utilisées ou consultées sans autorisation. L'incident est contenu et nous ne prévoyons pas que les données soient partagées ou rendues publiques. PowerSchool ne rencontre pas, et ne s'attend pas à rencontrer, de perturbation opérationnelle et continue de fournir des services normaux à nos clients", a déclaré Keebler.
La nature de l'attaque informatique reste inconnue. Bleeping Computer rapporte que dans une FAQ envoyée aux utilisateurs affectés, PowerSchool a déclaré n'avoir pas été victime d'une attaque par rançongiciel, mais que l'entreprise avait été contrainte de payer une somme d'argent pour empêcher les pirates de divulguer les données volées. PowerSchool a déclaré à la publication que les noms et les adresses étaient exposés lors de la violation, mais que les informations pourraient également inclure des numéros de sécurité sociale, des informations médicales, des notes et d'autres informations personnellement identifiables. PowerSchool n'a pas précisé le montant payé par l'entreprise.
PowerSchool a fait l'objet d'une action en justice en novembre 2024, alléguant que l'entreprise vend illégalement des données d'élèves sans consentement à des fins lucratives. Selon la poursuite, les données d'élèves collectées par l'entreprise atteignent environ "345 téraoctets de données provenant de 440 districts scolaires".
"PowerSchool collecte ces informations hautement sensibles sous couvert de soutien éducatif, mais les collecte en réalité pour son propre profit commercial", tout en se cachant derrière des "termes de service obscurs de telle sorte que personne ne puisse comprendre", allègue le procès.
Mis à jour avec un commentaire de PowerSchool.
Avez-vous plus d'informations sur la violation de données de PowerSchool? Nous aimerions avoir de vos nouvelles. À partir d'un appareil non professionnel, vous pouvez contacter Carly Page de manière sécurisée sur Signal au +44 1536 853968 ou par e-mail à l'adresse carly.page@techcrunch.com.
