PowerSchool: Resgate Pago Não Impediu Nova Onda de Extorsão Visando Escolas
Extorsão Persistente Atinge Clientes da PowerSchool Após Violação de Dados
O setor de tecnologia educacional enfrenta um novo capítulo preocupante na saga da cibersegurança envolvendo a PowerSchool, uma fornecedora líder de sistemas de gerenciamento de informações estudantis. Após uma significativa violação de dados ocorrida em dezembro de 2024, onde informações sensíveis de milhões de estudantes e educadores foram comprometidas, a empresa tomou a controversa decisão de pagar um resgate aos cibercriminosos. A esperança era garantir a exclusão dos dados roubados e impedir sua divulgação. No entanto, meses depois, essa estratégia se mostrou ineficaz, com os mesmos dados sendo agora utilizados em novas tentativas de extorsão direcionadas individualmente aos distritos escolares clientes da PowerSchool.
O Incidente Original de Dezembro de 2024 na PowerSchool
Em dezembro de 2024, a PowerSchool detectou um acesso não autorizado aos seus sistemas. Criminosos utilizaram uma credencial de login comprometida para exfiltrar dados de seu sistema de informações estudantis (SIS), que armazena registros de mais de 60 milhões de alunos do ensino fundamental e médio (K-12), principalmente na América do Norte. Os dados roubados incluíam uma variedade de informações pessoais sensíveis, como nomes, informações de contato, datas de nascimento, informações médicas limitadas, números de Seguro Social (SSN) nos EUA e Números de Seguro Social (SIN) no Canadá, além de outros dados relacionados a estudantes e funcionários. É importante notar que este incidente não foi um ataque de ransomware tradicional que criptografa arquivos, mas sim um roubo de dados seguido de extorsão.
A Decisão Controvertida da PowerSchool: Pagar o Resgate
Nos dias seguintes à descoberta da violação em dezembro de 2024, a liderança da PowerSchool tomou a "difícil decisão" de pagar um resgate aos invasores. A justificativa apresentada foi que essa seria a melhor opção para prevenir a publicação dos dados e que sentiam ser seu dever tomar essa atitude para proteger seus clientes e as comunidades atendidas. Contudo, a própria empresa reconheceu o risco inerente a essa situação: a possibilidade de que os criminosos não cumprissem a promessa de deletar os dados roubados, apesar das garantias fornecidas.
A Falsa Promessa de Exclusão de Dados
A recente onda de extorsões confirma os piores receios. Os criminosos, sejam os mesmos do ataque original ou outros que obtiveram acesso aos dados, não destruíram as informações conforme prometido. Este desenvolvimento lança sérias dúvidas sobre a fiabilidade de quaisquer garantias dadas por atores maliciosos e sobre a eficácia do pagamento de resgates como solução para violações de dados. O Toronto District School Board (TDSB), um dos clientes afetados no Canadá, expressou publicamente essa incerteza.
Nova Onda de Extorsão Visando Clientes da PowerSchool
Em maio de 2025, diversos distritos escolares nos Estados Unidos (como na Carolina do Norte e Oregon) e no Canadá (incluindo o TDSB e Rocky View Schools) começaram a receber comunicações diretas de um ator de ameaças. As mensagens exigiam pagamento sob a ameaça de divulgar os dados de estudantes e funcionários pertencentes àquele distrito específico, dados estes que coincidem com os roubados no incidente de dezembro de 2024. A PowerSchool confirmou que as amostras de dados apresentadas nessas novas tentativas de extorsão correspondem às informações exfiltradas anteriormente, indicando não se tratar de uma nova violação, mas da reexploração do incidente original.
Resposta da PowerSchool e das Autoridades
Diante desta reincidência, a PowerSchool afirmou estar ciente das tentativas de extorsão e reiterou que não acredita ser um novo incidente de segurança. A empresa informou que reportou o assunto às autoridades policiais nos Estados Unidos e no Canadá e está colaborando ativamente com as investigações, além de apoiar os clientes afetados. A PowerSchool expressou profundo pesar pelo fato de seus clientes estarem sendo "ameaçados e revitimizados por maus atores". Desta vez, a empresa declarou que não cederá a novas exigências de pagamento. O Departamento de Instrução Pública da Carolina do Norte (NCDPI) também notificou as autoridades competentes, que estão investigando ativamente.
Implicações e Lições Aprendidas com o Caso PowerSchool
Este caso serve como um duro lembrete dos riscos associados ao pagamento de resgates a cibercriminosos. Como muitos especialistas em segurança, incluindo o FBI, alertam há anos, pagar não garante a devolução ou destruição dos dados e pode encorajar futuras ações criminosas. A tática de "dupla extorsão", onde os dados são roubados e depois usados para exigir resgate tanto da organização inicial quanto de seus clientes ou indivíduos afetados, está se tornando cada vez mais comum, especialmente no setor educacional, que lida com dados altamente sensíveis. A falta de autenticação multifator (MFA) no portal comprometido inicialmente também ressalta a necessidade contínua de implementar medidas de segurança robustas.
Medidas de Mitigação e Proteção
Para mitigar os danos, a PowerSchool ofereceu serviços gratuitos de proteção de identidade (via Experian) e monitoramento de crédito (via TransUnion para adultos) por dois anos a todos os estudantes e educadores potencialmente afetados pela violação original, independentemente de quais dados específicos foram expostos. O prazo para inscrição nesses serviços foi estendido até 31 de julho de 2025. Autoridades como o NCDPI recomendam fortemente que os indivíduos afetados se inscrevam nesses serviços e considerem um congelamento de segurança em seus créditos. A orientação para quem receber mensagens de extorsão é clara: não clicar em links, não responder, não pagar o resgate e reportar imediatamente o incidente às equipes de tecnologia e segurança responsáveis.
A situação da PowerSchool demonstra a complexidade e a persistência das ameaças cibernéticas modernas. Mesmo após tomar medidas drásticas como o pagamento de um resgate, as organizações e seus clientes podem continuar vulneráveis, sublinhando a importância crítica da prevenção, da resiliência cibernética e da recusa em negociar com criminosos.
