MSCS demanda a empresa de software californiana por filtración de datos

MSCS files lawsuit against California-based software company over data breach

(LPL/ABC24) – Los abogados del Sistema Escolar del Condado de Memphis-Shelby (MSCS) presentaron una demanda contra una empresa de software californiana encargada de gestionar los registros escolares, tras alegar que la empresa incumplió un contrato con el distrito tras una filtración de datos ocurrida alrededor del 20 de diciembre de 2024.

La demanda afirma que PowerSchool, proveedor de software de datos educativos en la nube, tuvo conocimiento de una filtración de datos que involucraba información privada de PowerSource, su plataforma de atención al cliente, el 28 de diciembre.
Los datos incluían nombres, direcciones, fechas de nacimiento y otra información privada de estudiantes y personal, según la demanda.

La demanda añade que el atacante responsable de la filtración de datos utilizó PowerSource para exportar datos robados de aproximadamente 62,4 millones de estudiantes y 9,5 millones de profesores a un archivo CSV, que posteriormente fue robado.

Hasta la fecha, el demandante ha confirmado que la filtración de datos resultó en la vulneración de datos que contienen información personal de al menos 485,267 estudiantes, tanto antiguos como actuales, afirma la demanda. También ha confirmado que la filtración de datos resultó en la vulneración de datos que contienen información privada de al menos 23,903 miembros del personal y el profesorado del demandante.

PowerSchool no notificó a los distritos escolares sobre la filtración hasta el 7 de enero de 2025, según la demanda.

PowerSchool aún no ha contactado directamente con muchas de las víctimas de la filtración.

La empresa admitió posteriormente haber pagado un rescate a los hackers, quienes afirmaron que la información obtenida en la filtración no se utilizaría, según la demanda.

La demanda reveló que MSCS ha pagado a PowerSchool más de $21 millones desde 2013 por sus servicios.

Los abogados de MSCS alegan que PowerSchool no ha cumplido con su parte del trato en este acuerdo, afirmando que PowerSchool “incumplió numerosas obligaciones contractuales, estatutarias y legales que tenía con el demandante”.

Además, afirman que PowerSchool no tomó las medidas adecuadas para proteger su información de posibles hackers.

En la demanda, los abogados de MSCS solicitan que se indemnice al sistema escolar por cualquier “daños compensatorios, consecuentes, generales y nominales”.

La cantidad otorgada se determinará en juicio, según la demanda.

La demanda surge tras los problemas reportados con el sistema de alerta masiva de MSCS, Finalsite, en septiembre de 2024.

Funcionarios de la empresa de software declararon a ABC24 que no eran responsables después de que la exsuperintendente de MSCS, Marie Feagins, culpara de la falla en la entrega de alrededor de 60,000 mensajes a las familias de MSCS en Finalsite después de que mensajes amenazantes fueran dirigidos a escuelas del condado de Shelby.

English:

(LPL/ABC24) -Attorneys for Memphis-Shelby County Schools (MSCS) filed a lawsuit against a California-based software company tasked with keeping track of school records after alleging that the company broke a contract with the district following a data breach that happened around Dec. 20, 2024.

The lawsuit claims that PowerSchool, a provider of cloud-based education data software, became aware of a data breach involving private information from PowerSource, its customer support platform, on Dec. 28.
The data included names, addresses, birthdays and other private information of students and staff, said the lawsuit.

The suit goes further to say that the attacker in the data breach used PowerSource to export stolen data from around 62.4 million students and 9.5 million teachers into a CSV file, which was then stolen.

“To date, Plaintiff has confirmed that the Data Breach resulted in the compromise of data containing the personal information of at least 485,267 former and current students,” the lawsuit states. “Plaintiff has also confirmed that the Data Breach resulted in the compromise of data containing the private information of at least 23,903 members of Plaintiff’s staff and faculty.”

PowerSchool did not notify school districts about the breach until Jan. 7, 2025, according to the suit.

Many of the victims of the breach have yet to be contacted directly by PowerSchool.

The company later admitted that it paid a ransom to the hackers, who claimed the information obtained in the breach would not be used, according to the lawsuit.

The lawsuit revealed that MSCS has paid PowerSchool over $21 million since 2013 for its services.

MSCS attorneys allege that PowerSchool has not upheld its end of the bargain in this deal, stating that PowerSchool “breached numerous contractual, statutory, and legal duties it owed to Plaintiff.”

They go further to state that PowerSchool did not take adequate measures to safeguard its information from potential hackers.

In the lawsuit, MSCS attorneys request that the school system be awarded for any “compensatory, consequential, general, and nominal damages”.

The amount awarded is to be determined in trial, according to the suit.

The lawsuit comes after reported issues with MSCS’s mass alert system, Finalsite, in September 2024.

Officials from the software company told ABC24 that they were not responsible after former MSCS superintendent Marie Feagins blamed the failure to deliver around 60,000 messages to MSCS families on Finalsite after threatening messages were directed at schools around Shelby County.