Pada tanggal 7 Januari, pukul 23:10 di Dubai, Romy Backus menerima email dari raksasa teknologi pendidikan PowerSchool yang memberitahukan bahwa sekolah tempat dia bekerja adalah salah satu korban pelanggaran data yang ditemukan perusahaan pada tanggal 28 Desember. PowerSchool mengatakan peretas telah mengakses sistem cloud yang menyimpan banyak informasi pribadi siswa dan guru, termasuk nomor Jaminan Sosial, informasi medis, nilai, dan data pribadi lainnya dari sekolah di seluruh dunia.
Mengingat PowerSchool menyebut dirinya sebagai penyedia perangkat lunak pendidikan berbasis cloud terbesar untuk sekolah K-12 – sekitar 18.000 sekolah dan lebih dari 60 juta siswa – di Amerika Utara, dampaknya bisa “sangat besar,” seperti yang dirasakan oleh salah satu pekerja teknologi di negara yang terkena dampak. sekolah mengatakan kepada TechCrunch. Sumber di distrik sekolah yang terkena dampak insiden tersebut mengatakan kepada TechCrunch bahwa peretas mengakses “semua” data historis siswa dan guru yang disimpan dalam sistem yang disediakan PowerSchool.
Backus bekerja di American School of Dubai, di mana dia mengelola sistem PowerSchool SIS sekolah. Sekolah menggunakan sistem ini – sistem yang sama yang diretas – untuk mengelola data siswa, seperti nilai, kehadiran, pendaftaran, dan juga informasi yang lebih sensitif seperti nomor Jaminan Sosial siswa dan catatan medis.
Keesokan paginya setelah menerima email dari PowerSchool, Backus mengatakan dia pergi menemui manajernya, memicu protokol sekolah untuk menangani pelanggaran data, dan mulai menyelidiki pelanggaran tersebut untuk memahami dengan tepat apa yang dicuri oleh peretas dari sekolahnya, karena PowerSchool tidak menyediakannya. detail apa pun yang terkait dengan sekolahnya dalam email pengungkapannya.
“Saya mulai menggali karena ingin tahu lebih banyak,” kata Backus kepada TechCrunch. “Katakan saja padaku, oke, kita sudah terkena dampaknya. Besar. Nah, apa yang sudah diambil? Kapan itu diambil? Seberapa buruknya?”
“Mereka belum siap memberi kami informasi konkrit apa pun yang dibutuhkan pelanggan untuk melakukan uji tuntas kami sendiri,” kata Backus.
Segera setelah itu, Backus menyadari bahwa administrator lain di sekolah yang menggunakan PowerSchool berusaha menemukan jawaban yang sama.
“Beberapa di antaranya ada hubungannya dengan komunikasi yang membingungkan dan tidak konsisten yang datang dari PowerSchool,” menurut salah satu dari setengah lusin pekerja sekolah yang berbicara dengan TechCrunch dengan syarat mereka, maupun distrik sekolah mereka, tidak disebutkan namanya.
“Ke [PowerSchool]Terima kasih, mereka sebenarnya memberi tahu pelanggan mereka dengan sangat cepat tentang hal ini, terutama ketika Anda melihat industri teknologi secara keseluruhan, namun komunikasi mereka tidak memiliki informasi yang dapat ditindaklanjuti dan paling buruk menyesatkan, benar-benar membingungkan,” kata orang tersebut.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran PowerSchool? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Pada jam-jam awal setelah pemberitahuan PowerSchool, sekolah-sekolah berusaha keras untuk mengetahui sejauh mana pelanggaran tersebut, atau bahkan apakah mereka telah dilanggar sama sekali. Daftar email pelanggan PowerSchool, tempat mereka biasanya berbagi informasi satu sama lain, “meledak”, seperti yang dikatakan Adam Larsen, asisten pengawas Community Unit School District 220 di Oregon, Illinois, ke TechCrunch.
Masyarakat segera menyadari bahwa mereka sendirian. “Kami membutuhkan teman-teman kami untuk bertindak cepat karena mereka tidak dapat mempercayai informasi PowerSchool saat ini,” kata Larsen.
“Ada banyak kepanikan dan tidak membaca apa yang sudah dibagikan, lalu menanyakan pertanyaan yang sama berulang kali,” kata Backus.
Berkat keterampilan dan pengetahuannya tentang sistem, Backus mengatakan dia dapat dengan cepat mengetahui data apa yang disusupi di sekolahnya, dan mulai membandingkan catatan dengan pekerja lain dari sekolah lain yang terkena dampak. Ketika dia menyadari ada pola dalam pelanggaran tersebut, dan mencurigai hal yang sama terjadi pada orang lain, Backus memutuskan untuk menyusun panduan cara dengan rincian, seperti alamat IP spesifik yang digunakan peretas untuk membobol sekolah, dan langkah-langkahnya. untuk menyelidiki insiden tersebut dan menentukan apakah suatu sistem telah dilanggar, beserta data spesifik apa yang dicuri.
Pada pukul 16:36 waktu Dubai pada tanggal 8 Januari, kurang dari 24 jam setelah PowerSchool memberi tahu semua pelanggan, Backus mengatakan dia mengirim Google Doc bersama di WhatsApp dalam obrolan grup dengan administrator PowerSchool lain yang berbasis di Eropa dan Timur Tengah, yang sering berbagi informasi dan sumber daya untuk saling membantu. Kemudian pada hari itu, setelah berbicara dengan lebih banyak orang dan menyempurnakan dokumen tersebut, Backus mengatakan dia mempostingnya Grup Pengguna PowerSchoolforum dukungan tidak resmi untuk pengguna PowerSchool yang memiliki lebih dari 5.000 anggota.
Sejak itu, dokumen tersebut telah diperbarui secara berkala dan berkembang menjadi hampir 2.000 katasecara efektif menjadi viral di dalam komunitas PowerSchool. Hingga Jumat, dokumen tersebut telah dilihat lebih dari 2.500 kali, menurut Backus, yang membuat tautan pendek Bit.ly yang memungkinkannya melihat berapa banyak orang yang mengeklik tautan tersebut. Beberapa orang secara publik membagikan alamat web lengkap dokumen tersebut di Reddit dan grup tertutup lainnya, sehingga kemungkinan besar lebih banyak lagi yang telah melihat dokumen tersebut. Pada saat penulisan, ada sekitar 30 orang yang melihat dokumen tersebut.
Pada hari yang sama Backus membagikan dokumennya, Larsen menerbitkannya seperangkat alat sumber terbukaserta video petunjuknyadengan tujuan membantu orang lain.
Dokumen Backus dan alat Larsen adalah contoh bagaimana komunitas pekerja di sekolah yang diretas — dan mereka yang sebenarnya tidak diretas tetapi masih diberitahu oleh PowerSchool — bersatu untuk saling mendukung. Para pekerja sekolah harus saling membantu dan menanggapi pelanggaran tersebut dengan cara crowdsourcing yang dipicu oleh solidaritas dan kebutuhan karena respons yang lambat dan tidak lengkap dari PowerSchool, menurut setengah lusin pekerja di sekolah-sekolah yang terkena dampak yang berpartisipasi dalam komunitas tersebut. upaya dan berbicara tentang pengalaman mereka dengan TechCrunch.
Beberapa pekerja sekolah lainnya saling mendukung di dalam beberapa reddit benang. Beberapa di antaranya diterbitkan pada subreddit administrator sistem K-12di mana pengguna harus diperiksa dan diverifikasi agar dapat memposting.
Doug Levin, salah satu pendiri dan direktur nasional organisasi nirlaba yang membantu sekolah dengan keamanan siber, K12 Security Information eXchange (K12 SIX), yang menerbitkan FAQ-nya sendiri tentang peretasan PowerSchool, mengatakan kepada TechCrunch bahwa kolaborasi terbuka semacam ini biasa terjadi di komunitas, tetapi “insiden PowerSchool memiliki cakupan yang sangat besar sehingga lebih jelas terlihat.”
“Sektor ini sendiri cukup besar dan beragam – dan, secara umum, kami belum membangun infrastruktur berbagi informasi seperti yang ada di sektor lain untuk menangani insiden keamanan siber,” kata Levin.
Levin menggarisbawahi fakta bahwa sektor pendidikan harus bergantung pada kolaborasi terbuka melalui jalur yang lebih informal, dan terkadang melalui saluran publik, hal ini sering terjadi karena sekolah pada umumnya kekurangan staf dalam hal pekerja TI, dan kurangnya keahlian spesialis keamanan siber.
Pekerja sekolah lainnya mengatakan kepada TechCrunch bahwa “bagi banyak dari kita, kita tidak memiliki dana untuk sumber daya keamanan siber penuh yang kita perlukan untuk merespons insiden dan kita harus bersatu.”
Saat dihubungi untuk memberikan komentar, juru bicara PowerSchool Beth Keebler mengatakan kepada TechCrunch: “Pelanggan PowerSchool kami adalah bagian dari komunitas keamanan yang kuat yang berdedikasi untuk berbagi informasi dan membantu satu sama lain. Kami berterima kasih atas kesabaran pelanggan kami dan dengan tulus berterima kasih kepada mereka yang ikut membantu rekan-rekan mereka dengan berbagi informasi. Kami akan terus melakukan hal yang sama.”
Pelaporan tambahan oleh Carly Page.
