O Gabinete do Procurador Geral do Texas entrou com uma ação contra a PowerSchool, um provedor de tecnologia educacional da Califórnia, depois de um maciço Violação de dados do PowerSchool expôs as informações pessoais de mais de 880.000 alunos e professores no Texas.
O Violação de dados do PowerSchoolque ocorreu em dezembro de 2024, envolveu o roubo de informações altamente sensíveis, incluindo nomes, endereços, números de previdência social, registros médicos e deficientes, detalhes da educação especial e até locais de ônibus escolares. As autoridades alertam que esse nível de exposição coloca crianças e educadores em risco de roubo de identidade e outras ameaças à segurança.
Os registros judiciais revelam que um hacker acessou os sistemas do PowerSchool por meio da conta de um subcontratado que não possuía proteções adequadas. Com o acesso de nível administrativo, o invasor conseguiu mover grandes quantidades de dados não criptografados para um servidor estrangeiro.
Escopo da exposição da violação de dados da PowerSchool
A plataforma da PowerSchool é usada nos Estados Unidos para gerenciar registros de estudantes, matrículas e operações escolares. A empresa afirma servir cerca de 18.000 distritos ou escolas em todo o país. No total, o Violação de dados do PowerSchool afetou mais de 62 milhões de estudantes e quase 10 milhões de professores em todo o mundo, com 6.500 clientes diretamente impactados.
No Texas, 880.000 indivíduos tiveram suas informações comprometidas.
As alegações contra o PowerSchool são duras
O processo alega que a PowerSchool violou a Lei de Práticas Comerciais do Texas e a Lei de Execução e Proteção ao roubo de identidade, deturpando a força de suas proteções de segurança cibernética. Os investigadores dizem que a empresa não conseguiu implementar salvaguardas básicas, como autenticação de vários fatores, controles de acesso e criptografia de dados.
O procurador -geral Ken Paxton declarou:
“Os pais nunca devem ter que se preocupar com o fato de as informações que eles fornecem para matricular seus filhos na escola podem ser roubadas e mal utilizadas. Se a Big Tech achar que eles podem lucrar gerenciando os dados das crianças enquanto corta os cantos da segurança, eles estão errados”.
A denúncia aponta que a PowerSchool anunciou seus sistemas como atendendo a “os mais altos padrões de segurança”, uma alegação que o estado agora diz ser falsa, dada a escala do Violação de dados do PowerSchool.
PowerSchool reconheceu a violação de dados
A PowerSchool reconheceu que a autenticação multifatorial não estava em vigor antes da violação, mas não emitiu um comentário público sobre o processo do Texas. Um estudante universitário de Massachusetts já se declarou culpado de realizar o hack, mas as autoridades estaduais argumentam que a PowerSchool permanece responsável por não garantir sua plataforma.
O Violação de dados do PowerSchool é um dos maiores incidentes que envolvem um fornecedor de tecnologia educacional. Os especialistas observam que os registros roubados-particularmente informações sobre saúde e incapacidade-criam riscos de longo prazo para os afetados. A inclusão de dados de parada de ônibus atraiu uma preocupação especial com a segurança das crianças em idade escolar.
As autoridades do Texas pediram aos pais e professores afetados pelo Violação de dados do PowerSchool Para monitorar atividades de crédito, contas bancárias e registros pessoais para obter sinais de uso indevido.
