Texas’ Süpervizör Ken Paxton ve PowerSchool Davası
Texas Eyalet Savcısı Ken Paxton, eğitim yazılımı şirketi PowerSchool aleyhine bir dava açtı. Bu dava, geçen yıl Aralık ayında yaşanan büyük bir veri ihlali olayıyla ilgili. Bu olay, 62 milyon öğrencinin kişisel bilgilerini ifşa etti ve bunlar arasında 880,000’den fazla Teksaslı öğrenci de bulunuyor.
PowerSchool, K-12 okulları ve bölgeleri için bulut tabanlı yazılım çözümleri sunan bir şirkettir. Şirket, dünya genelinde 60 milyonun üzerinde öğrenciye hizmet veriyor ve 18,000’den fazla müşteriye sahiptir.
Veri İhlali Olayının Ayrıntıları
Ocak ayında, eğitim yazılım devinin yaşadığı ihlal ile ilgili açıklamalarda bulundu. PowerSource müşteri destek portalının, 19 Aralık 2024’de bir alt yüklenicinin çalınan kimlik bilgileri kullanılarak ihlal edildiği duyuruldu. Saldırgan, 28 Aralık 2024 tarihinde 2.85 milyon dolarlık bir fidye talep etti. Çalınan bilgiler arasında öğrencilerin ve öğretim üyelerinin tam isimleri, fiziksel adresleri, telefon numaraları, şifreleri, ebeveyn bilgileri, iletişim detayları, Sosyal Güvenlik numaraları ve medical veriler yer alıyordu.
BleepingComputer’ın haberine göre, Aralık 2024’teki PowerSchool ihlalinin arkasındaki tehdit aktörü, ABD, Kanada ve diğer ülkelerdeki 6,505 okul bölgesinden 62.4 milyon öğrenci ve 9.5 milyon öğretmenin kişisel verilerini çaldığını iddia etti.
Yasal Yükümlülükler ve Güvenliği İhlali
Texas Eyalet Savcılığından yapılan açıklamaya göre, PowerSchool’un güvenlik uygulamalarıyla ilgili yanıltıcı bilgiler vermesi ve Texas aileleri ve okul bölgeleri tarafından emanet edilen hassas bilgileri korumak için makul önlemler almaması, Texas Deceptive Trade Practices Act ve Kimlik Hırsızlığını Önleme ve Koruma Yasasını ihlal ediyor.
Savcı Paxton, “Büyük teknoloji şirketlerinin çocukların verilerini yönetirken güvenlikte köşe kapmaya çalışmalarının yanlış olduğunu” vurguladı. Ailelerin çocuklarını okula kaydettiklerinde verdiği bilgilerin çalınması ve kötüye kullanılması konusunda endişe duymaması gerektiğine dikkat çekti. “Ofisim, Texas öğrencileri, öğretmenleri ve ailelerini riske atan PowerSchool’u sorumlu tutmak için elinden gelen her şeyi yapacaktır,” dedi.
Saldırganın Daha Fazla İstismar Talebi
PowerSchool, müşteri güvenliği için önemli bir adım atarak, ihlalin ardından fidye ödendiğini kabul etti. Bu ödemenin ardından saldırgan, çalınan verilerin silindiğine dair bir video gönderdi. Ancak bu durum uzun sürmedi. Tehdit aktörü, Mayıs ayının başlarında çeşitli okul bölgelerini hedef alarak, daha önce çaldıkları öğrenci ve öğretmen verilerini yayımlamakla tehdit etti.
Mayıs ayında, Massachusetts eyaletinden 19 yaşındaki üniversite öğrencisi Matthew D. Lane, PowerSchool üzerindeki büyük siber saldırıyı organize etmekle suçlu bulundu. Bir grup komplo ortağıyla birlikte hareket eden Lane, çalınan verileri sızdırmamaları için milyonlarca dolarlık fidye talep etti.
Okul bildirilerine ve DataBreaches.net raporuna göre, okul bölgelerine gönderilen fidye talepleri, “ShinyHunters” adındaki, yüz milyonlarca insanı etkileyen birçok ihlalle bağlantılı yüksek profilli bir suç grubu tarafından geldiği iddia edildi.
Güvenlik Araştırmaları ve Geçmişteki İhlaller
Mart ayında PowerSchool, olayla ilgili bir CrowdStrike araştırması yayımladı. Bu rapor, tehdit aktörlerinin Ağustos ve Eylül 2024’te PowerSource’u ihlal ettiğini ortaya koydu. Aynı çalıntı kimlik bilgilerini kullanarak, aynı hedefe yönelik yapılan bu üçüncü ihlal için herhangi bir kanıt bulunamadı.
Sonuç olarak, bu tür ihlaller, eğitim yazılımı sağlayıcılarının veri güvenliği konusundaki sorumluluklarını sorgulatmaktadır. Kuruluşların kendilerini bu tür tehditlerden korumak için etkin güvenlik önlemleri alması gerekmektedir. Eğitim sisteminin kalbi olan bu verilerin güvenliği, hem öğrencilerin sağlığı hem de ailelerin huzuru için hayati öneme sahiptir.
