La Oficina del Fiscal General de Texas ha presentado una demanda contra PowerSchool, un proveedor de tecnología educativa con sede en California, después de un enorme PowerSchool Data Incallado expuso la información personal de más de 880,000 estudiantes y maestros en Texas.
El PowerSchool Data Incalladoque ocurrió en diciembre de 2024, implicó el robo de información altamente sensible, incluidos nombres, direcciones, números de seguro social, registros médicos y de discapacidad, detalles de educación especial e incluso ubicaciones de parada de autobuses escolares. Los funcionarios advierten que este nivel de exposición coloca a los niños y educadores en riesgo de robo de identidad y otras amenazas de seguridad.
Las presentaciones judiciales revelan que un hacker accedió a los sistemas de PowerSchool a través de la cuenta de un subcontratista que carecía de protecciones adecuadas. Con el acceso a nivel administrativo, el atacante pudo mover grandes cantidades de datos no cifrados a un servidor extranjero.
Alcance de la exposición a la violación de los datos de PowerSchool
La plataforma de PowerSchool se utiliza en todo Estados Unidos para administrar registros de estudiantes, inscripción y operaciones escolares. La compañía afirma servir aproximadamente 18,000 distritos o escuelas en todo el país. En total, el PowerSchool Data Incallado afectó a más de 62 millones de estudiantes y casi 10 millones de maestros en todo el mundo, con 6.500 clientes directamente afectados.
En Texas, 880,000 personas tenían su información comprometida.
Las acusaciones contra PowerSchool son duras
La demanda alega que PowerSchool violó la Ley de Prácticas Comerciales Deceptivas de Texas y la Ley de Aplicación y Protección de Robo de Identidad al tergiversar la fuerza de sus protecciones de ciberseguridad. Los investigadores dicen que la compañía no pudo implementar salvaguardas básicas, como autenticación multifactor, controles de acceso y cifrado de datos.
Fiscal General Ken Paxton declaró:
«Los padres nunca deberían tener que preocuparse de que la información que proporcionan para inscribir a sus hijos en la escuela podrían ser robados y mal utilizados. Si Big Tech cree que pueden beneficiarse de la gestión de los datos de los niños mientras reducen las esquinas de la seguridad, están completamente equivocados».
La queja señala que PowerSchool anunció sus sistemas como cumplir con «los más altos estándares de seguridad», un reclamo que ahora dice que el estado ahora era falso dada la escala del PowerSchool Data Incallado.
PowerSchool reconoció la violación de datos
PowerSchool ha reconocido que la autenticación multifactor no estaba vigente antes de la violación, pero no ha emitido un comentario público sobre la demanda de Texas. Un estudiante de Massachusetts College ya se declaró culpable de llevar a cabo el truco, pero los funcionarios estatales argumentan que PowerSchool sigue siendo responsable de no asegurar su plataforma.
El PowerSchool Data Incallado es uno de los incidentes más grandes que involucran a un proveedor de tecnología educativa. Los expertos señalan que los registros robados, particularmente la información de salud y discapacidad, crean riesgos a largo plazo para los afectados. La inclusión de los datos de parada de autobús ha generado especial preocupación por la seguridad de los escolares.
Los funcionarios de Texas han instado a los padres y maestros afectados por el PowerSchool Data Incallado Para monitorear la actividad crediticia, las cuentas bancarias y los registros personales para los signos de mal uso.
