A gigante de tecnologia educacional PowerSchool, que atua no cenário educacional dos Estados Unidos, tornou-se o centro das atenções após um grave incidente de segurança cibernética, onde hackers conseguiram acessar os dados pessoais de alunos e professores nas escolas de educação básica (K-12). Este evento levanta preocupações significativas sobre a segurança de informações sensíveis e a gestão de dados no setor educacional, que já enfrenta desafios relacionados à proteção da privacidade de seus usuários.
Com sede na Califórnia, a PowerSchool se destaca como a maior provedora de software educacional baseado na nuvem para as escolas K-12 nos Estados Unidos, atendendo mais de 75% dos alunos da América do Norte, conforme declarado em seu site. De acordo com as informações disponíveis, a empresa presta serviços a mais de 16.000 clientes, apoiando mais de 50 milhões de estudantes em solo americano. No entanto, a recente violação de segurança levanta questões sobre a confiabilidade de uma plataforma que ocupa um papel tão central na educação de milhões.
Na última terça-feira, a PowerSchool enviou uma carta aos clientes impactados, que foi divulgada em uma reportagem local, informando sobre a violação que ocorreu no dia 28 de dezembro, quando hackers conseguiram invadir o portal de suporte ao cliente PowerSource da empresa. Essa brecha proporcionou acesso adicional ao sistema de informações das escolas, conhecido como PowerSchool SIS, usado para gerenciar registros acadêmicos, notas, frequência e matrículas. A carta mencionava que a investigação realizada pela empresa revelou que os hackers ganharam acesso “usando uma credencial comprometida.”
Embora o escopo exato da violação ainda permaneça obscuro, a PowerSchool não forneceu detalhes sobre que tipos específicos de dados foram acessados durante o incidente ou quantos indivíduos foram afetados. As tentativas de contato da TechCrunch com a PowerSchool e a Bain Capital, sua adquirente no valor de $5,6 bilhões em 2024, não obtiveram resposta. A falta de transparência em relação à natureza dos dados comprometidos aumenta as incertezas em relação à segurança das informações pessoais nesta era digital.
De acordo com a Bleeping Computer, em uma seção de perguntas frequentes enviada aos usuários afetados, a PowerSchool esclareceu que não sofreu um ataque de ransomware, mas que a empresa foi extorquida a pagar uma quantia financeira para evitar que os hackers divulgassem os dados roubados. Segundo a empresa, nomes e endereços foram expostos na violação, embora informações adicionais, como números de Seguro Social, dados médicos, notas e outras informações pessoalmente identificáveis, também possam ter sido comprometidas. O valor exato pago pela PowerSchool não foi revelado.
Este incidente de segurança cibernética não é o único desafio enfrentado pela PowerSchool nos últimos anos. Em novembro de 2024, a empresa foi alvo de uma ação judicial coletiva que a acusa de vender ilegalmente dados de estudantes sem consentimento para obtenção de lucro comercial. O processo judicial aponta que a empresa possui um vasto acervo de dados de alunos, totalizando cerca de “345 terabytes de dados coletados de 440 distritos escolares”. Essa quantitativa impressionante de dados levanta questões sobre como a empresa manuseia e protege informações tão sensíveis.
O processo alega que a PowerSchool coleta essas informações altamente sensíveis sob a justificativa de oferta de suporte educacional, mas na verdade faz isso para seu próprio ganho comercial. Além disso, é mencionado que os termos de serviço são tão confusos que se torna difícil para os usuários compreenderem o que exatamente estão consentindo. Essa combinação de práticas de coleta de dados e a violação de segurança atual lança uma sombra sobre a ética e a responsabilidade da PowerSchool em relação à gestão da privacidade e segurança das informações de seus usuários.
À medida que o incidente se desenrola e mais informações podem surgir, é essencial para os pais, alunos e educadores avaliarem a segurança dos dados pessoais em plataformas educacionais. A confiança em tecnologias que gerenciam informações críticas é fundamental no ambiente educacional atual, onde dados estão cada vez mais vulneráveis a ataques cibernéticos. O que os usuários precisam saber é que cada vez mais suas informações estão em risco, e a responsabilização das empresas deve ser uma prioridade para garantir a proteção dos dados de cada estudante.
Este caso serve como um alerta para o setor educacional e para empresas de tecnologia em geral sobre a importância da segurança da informação e a necessidade de uma gestão ética e transparente dos dados. Que aprendamos com este incidente para promover práticas melhores e mais seguras que protejam as informações de milhões de alunos em todo o mundo.
