De Amerikaanse autoriteiten hebben een 19-jarige student aangeklaagd voor het stelen van miljoenen records met persoonlijke informatie bij PowerSchool. De verdachte heeft aangegeven dat hij schuld gaat bekennen. PowerSchool is een zeer grote aanbieder van software en cloudoplossingen voor onderwijsinstellingen. Het claimt dat meer dan zestig miljoen leerlingen in meer dan negentig landen gebruikmaken van de diensten van het bedrijf.

Vorig jaar werd PowerSchool slachtoffer van een aanval waarbij miljoenen records met persoonlijke informatie van studenten en leerlingen werden buitgemaakt. Vervolgens werd er een bedrag van 2,85 miljoen dollar geëist, anders zouden de aanvaller of aanvallers de gestolen data openbaar maken. PowerSchool betaalde losgeld, maar het exacte bedrag is niet bekend. Het bedrijf zou daarna de 'garantie' hebben gekregen dat de data was vernietigd, maar vorige maand werden individuele schooldistricten met de gestolen gegevens afgeperst. Daarnaast zou de verdachte ook betrokken zijn geweest bij het afpersen van een Amerikaanse telecomprovider, waar ook klantgegevens werden buitgemaakt.

Volgens de aanklacht wist de aanvaller inloggegevens van een contractor te stelen die voor PowerSchool werkzaam was. Hoe dit werd gedaan staat niet vermeld. Met deze inloggegevens kon de aanvaller inloggen op een PowerSchool-omgeving en de data buitmaken. PowerSchool liet eerder zelf al weten dat de aanvaller gebruikmaakte van een 'single compromised credential'.

De naam van PowerSchool wordt niet in de aanklacht genoemd. Bronnen laten tegenover Reuters en NBC News weten dat het om PowerSchool gaat. Daarnaast komen de aantallen slachtoffers die in de losgeldeis worden genoemd, zoals vermeld in de aanklacht, overeen met de aantallen gebruikers die PowerSchool zelf claimt te hebben.