Le bureau du procureur général du Texas a déposé une plainte contre PowerSchool, un fournisseur de technologies éducatives basée en Californie, après une énorme Violation de données PowerSchool a exposé les informations personnelles de plus de 880 000 étudiants et enseignants au Texas.
Le Violation de données PowerSchoolqui s’est produit en décembre 2024, a impliqué le vol d’informations très sensibles, y compris les noms, les adresses, les numéros de sécurité sociale, les dossiers médicaux et d’invalidité, les détails de l’éducation spéciale et même les lieux d’arrêt des bus scolaires. Les responsables avertissent que ce niveau d’exposition place les enfants et les éducateurs à risque de vol d’identité et d’autres menaces de sécurité.
Les dépôts judiciaires révèlent qu’un pirate a accédé aux systèmes de PowerSchool via le compte d’un sous-traitant qui manquait de protections adéquates. Avec l’accès au niveau administratif, l’attaquant a pu déplacer de grandes quantités de données non cryptées à un serveur étranger.
Portée de l’exposition de la violation de données PowerSchool
La plate-forme de PowerSchool est utilisée à travers les États-Unis pour gérer les dossiers des étudiants, les inscriptions et les opérations scolaires. La société prétend desservir environ 18 000 districts ou écoles à l’échelle nationale. Au total, le Violation de données PowerSchool affecté plus de 62 millions d’étudiants et près de 10 millions d’enseignants dans le monde, avec 6 500 clients directement touchés.
Au Texas, 880 000 personnes ont fait compromettre leurs informations.
Les allégations contre PowerSchool sont dures
Le procès allègue que PowerSchool a violé la Loi sur les pratiques commerciales trompeuses du Texas et la loi sur l’application et la protection des vols d’identité en déformant la force de ses protections de cybersécurité. Les enquêteurs disent que la société n’a pas réussi à mettre en œuvre des garanties de base, telles que l’authentification multi-facteurs, les contrôles d’accès et le chiffrement des données.
Le procureur général Ken Paxton a déclaré:
«Les parents ne devraient jamais avoir à s’inquiéter que les informations qu’ils fournissent pour inscrire leurs enfants à l’école puissent être volées et utilisées à mauvais escient. Si Big Tech pense qu’ils peuvent profiter de la gestion des données des enfants tout en réduisant les coins de la sécurité, ils se trompent.»
La plainte souligne que PowerSchool a annoncé ses systèmes comme respectant «les normes de sécurité les plus élevées», une affirmation selon laquelle l’État a maintenant été faux étant donné l’ampleur de la Violation de données PowerSchool.
PowerSchool a reconnu la violation des données
Powerschool a reconnu que l’authentification multi-facteurs n’était pas en place avant la violation mais n’a pas publié de commentaire public sur le procès du Texas. Un étudiant du Massachusetts College a déjà plaidé coupable d’avoir effectué le hack, mais les responsables de l’État soutiennent que PowerSchool reste responsable de ne pas obtenir sa plate-forme.
Le Violation de données PowerSchool est l’un des plus grands incidents impliquant un fournisseur de technologie d’éducation. Les experts notent que les dossiers volés – en particulier les informations sur la santé et l’invalidité – ont provoqué des risques à long terme pour les personnes touchées. L’inclusion des données d’arrêt de bus a suscité une préoccupation particulière concernant la sécurité des écoliers.
Les responsables du Texas ont exhorté les parents et les enseignants touchés par le Violation de données PowerSchool pour surveiller l’activité de crédit, les comptes bancaires et les dossiers personnels pour les signes d’utilisation abusive.
