O Conselho Escolar Distrital de Toronto (TDSB) anunciou que uma recente violação de segurança cibernética que afetou o PowerSchool pode ter comprometido informações pessoais de alunos de 1985 a 2024. A violação, descoberta em 7 de janeiro, causou preocupação, pois potencialmente afeta informações médicas, números de cartões de saúde e endereços residenciais.
Conselho escolar de Toronto relata violação de segurança cibernética que afeta dados de alunos
PowerSchool serve como uma plataforma baseada em nuvem usada por muitos conselhos escolares para reter registros de alunos e funcionários. Numa comunicação aos pais e responsáveis, a Diretora Interina de Educação Stacey Zucker explicou que os detalhes específicos dos dados comprometidos variam dependendo do período de matrícula do aluno.
O TDSB relatado que os registros dos alunos matriculados de 3 de setembro de 1985 a 31 de agosto de 2017 podem incluir nomes, datas de nascimento, sexo, números de cartão de saúde, endereços residenciais, números de telefone e informações adicionais. Para alunos que frequentaram de setembro de 2017 a 28 de dezembro de 2024, as informações acessadas podem incluir nomes, datas de nascimento, sexo, números de cartão de saúde, registros médicos como alergias, endereços residenciais, números de telefone, informações de residência, bem como pais, detalhes do responsável ou cuidador e informações de contato de emergência.
Nomeadamente, o TDSB confirmou que as informações médicas relacionadas com a sua equipa de serviços de apoio, que inclui vários profissionais de saúde, não foram afetadas pela violação. As autoridades canadenses de privacidade estão atualmente investigando o incidente.
Em resposta à violação, a PowerSchool anunciou que irá fornecer serviços gratuitos de proteção de identidade por dois anos para todos os estudantes e educadores afetados, juntamente com dois anos de monitoramento de crédito para estudantes e educadores adultos, independentemente de seus números de seguro social terem sido comprometidos. O TDSB garantiu que não armazena números de segurança social ou dados financeiros no sistema PowerSchool, indicando que tais informações permanecem seguras.
“A PowerSchool oferecerá dois anos de serviços gratuitos de proteção de identidade para todos os alunos e educadores cujas informações estejam envolvidas e também oferecerá dois anos de serviços gratuitos de monitoramento de crédito para todos os alunos adultos e educadores cujas informações estejam envolvidas. Estamos fazendo isso independentemente de o número do seguro social de um indivíduo ter sido exfiltrado.”
-PowerSchool
O porta-voz do TDSB, Ryan Bird, afirmou que a PowerSchool garantiu a todos os conselhos escolares que os dados comprometidos foram excluídos e não armazenados em outro lugar. Bird expressou preocupações contínuas em relação à violação e enfatizou os esforços de colaboração com a PowerSchool para melhorar a segurança do sistema.
De acordo com TechCrunchRomy Backus, administradora da American School of Dubai, recebeu uma notificação da PowerSchool sobre a violação e tomou medidas imediatas para entender seu impacto, já que a comunicação inicial não especificava quais dados foram comprometidos. Backus notou a falta de informações acionáveis, gerando confusão entre os administradores escolares que tentavam determinar a extensão da violação. Os administradores de várias escolas afetadas recorreram uns aos outros em busca de orientação, resultando em um aumento notável na comunicação entre os usuários em seus listas de e-mail.
Backus utilizou seu conhecimento técnico para identificar dados comprometidos em sua escola e posteriormente criou um guia completo para colegas administradores detalhando os padrões de violação e as etapas de investigação. Este guia foi amplamente compartilhado nos fóruns de usuários do PowerSchool, reunindo milhares de visualizações e se tornando um recurso crítico para as escolas que enfrentam as consequências da violação.
Doug Levin, cofundador do K12 Security Information eXchange, observou a importância dessa colaboração dentro da comunidade educacional, especialmente durante incidentes de grande escala, como a violação do PowerSchool, já que as escolas muitas vezes carecem de recursos robustos de segurança cibernética.
A porta-voz da PowerSchool, Beth Keebler, reconheceu o ambiente de apoio promovido entre seus clientes, destacando os esforços cooperativos durante a crise de segurança.
Na última atualização, o TDSB garantiu aos atuais e ex-alunos que não há acesso não autorizado contínuo aos dados.
Crédito da imagem em destaque: PowerSchool
