Subject line: Follow up to PowerSchool Data Breach 


January 24, 2025

Dear OCEAA Parents and Staff,

We are following up to provide additional information regarding the recent cybersecurity incident involving PowerSchool, the provider of our Student Information System (SIS).

What Happened

On December 28, 2024, PowerSchool detected unauthorized access to certain data in its SIS platform. After an initial investigation, PowerSchool informed OCEAA leadership on January 7, 2025, that the incident affected data on a national scale. This breach has been contained, and law enforcement has been notified.  Similar SIS systems have recently undergone these incidents, such as the Aeries SIS in 2020.

Unfortunately, PowerSchool has confirmed that this incident included information belonging to some OCEAA families and staff members. 

What Information Was Affected

PowerSchool’s initial findings indicate that the accessed data primarily includes contact information, such as names and addresses. While further investigation is underway, PowerSchool has reported that, across their customer base, some personally identifiable information (PII)—including Social Security Numbers (SSNs) and medical information—may have been impacted.

However, we want to assure you that OCEAA does not collect or store Social Security Numbers in PowerSchool. Therefore, no SSNs associated with OCEAA students, families, or educators were involved.

What We Are Doing

The security and privacy of our students, families, and staff are of the utmost importance to OCEAA. In response to this incident:

  • PowerSchool’s Actions: PowerSchool has enhanced its cybersecurity measures, including updated password policies and strengthened controls.
  • OCEAA’s Actions: We are collaborating with our IT provider to implement additional safeguards and ensure robust monitoring for phishing and cybersecurity threats.

Resources for Affected Individuals

PowerSchool is offering the following support services to individuals whose information was involved:

  1. Identity Protection Services: Two years of complimentary identity protection for all impacted individuals.
  2. Credit Monitoring: Two years of credit monitoring for impacted adults.

PowerSchool will notify affected individuals directly and provide details on these services, including how to access them. Notifications will also include instructions for contacting their dedicated call center to address any questions or concerns.

What You Can Do

While PowerSchool is handling notifications and offering resources, we encourage you to consider these precautionary measures:

  • Place a Fraud Alert: Contact any of the three major credit reporting agencies to add a fraud alert to your credit report:
    • Equifax: 1-888-378-4329
    • Experian: 1-888-397-3742
    • TransUnion: 1-800-680-7289
  • Order and Monitor Your Credit Report: After placing a fraud alert, obtain a free copy of your credit report to check for any unauthorized activity.

Stay Informed

For up-to-date information regarding this incident, please visit PowerSchool’s security page at https://www.powerschool.com/security/sis-incident/. PowerSchool is also expected to send out similar communication such as this letter.

We understand the concern this incident may cause and want to assure you that we are committed to addressing it with transparency and urgency.

Thank you for your understanding and cooperation.

Sincerely,
Señor Limón
Executive Director 


Subject: Seguimiento al Incidente de Brecha de Seguridad de PowerSchool

24 de enero de 2025

Estimados Padres y Personal de OCEAA,

Les escribimos para brindar información adicional sobre el reciente incidente de ciberseguridad relacionado con PowerSchool, el proveedor de nuestro Sistema de Información Estudiantil (SIS, por sus siglas en inglés).

Qué Ocurrió

El 28 de diciembre de 2024, PowerSchool detectó acceso no autorizado a ciertos datos en su plataforma SIS. Después de una investigación inicial, PowerSchool informó a la dirección de OCEAA el 7 de enero de 2025, que el incidente afectó datos a nivel nacional. Esta brecha de seguridad ha sido contenida, y se ha notificado a las autoridades. Sistemas similares de información estudiantil han enfrentado incidentes similares, como el de Aeries SIS en 2020.

Desafortunadamente, PowerSchool ha confirmado que este incidente incluyó información perteneciente a algunas familias y empleados de OCEAA.

Qué Información Fue Afectada

Los hallazgos iniciales de PowerSchool indican que los datos accedidos incluyen principalmente información de contacto, como nombres y direcciones. Aunque la investigación continúa, PowerSchool ha informado que, entre su base de clientes, alguna información personal identificable (PII, por sus siglas en inglés), como números de Seguro Social (SSN) e información médica, podría haberse visto comprometida.

Sin embargo, queremos asegurarles que OCEAA no recopila ni almacena números de Seguro Social en PowerSchool. Por lo tanto, ningún SSN está relacionado con los estudiantes, familias o empleados de OCEAA.

Qué Estamos Haciendo

La seguridad y privacidad de nuestros estudiantes, familias y personal son de suma importancia para OCEAA. En respuesta a este incidente:

  • Acciones de PowerSchool: PowerSchool ha reforzado sus medidas de ciberseguridad, incluyendo la actualización de políticas de contraseñas y los controles fortalecidos.
  • Acciones de OCEAA: Estamos colaborando con nuestro proveedor de tecnologia (TI) para implementar medidas de seguridad adicionales y garantizar una supervisión robusta contra campañas de suplantación de identidad (phishing) y amenazas cibernéticas.

Recursos para los Afectados

PowerSchool está ofreciendo los siguientes servicios de apoyo para las personas cuya información se vio comprometida:

  1. Servicios de Protección de Identidad: Dos años de protección de identidad gratuita para todas las personas afectadas.
  2. Monitoreo de Crédito: Dos años de monitoreo de crédito gratuito para los adultos afectados.

PowerSchool notificará directamente a las personas afectadas y proporcionará detalles sobre estos servicios, incluyendo cómo acceder a ellos. Las notificaciones también incluirán instrucciones para comunicarse con su centro de atención telefónica dedicado para resolver cualquier pregunta o inquietud.

Qué Puede Hacer Usted

Aunque PowerSchool se encargará de las notificaciones y ofrecerá recursos, le recomendamos considerar las siguientes medidas de precaución:

  • Coloque una Alerta de Fraude: Comuníquese con cualquiera de las tres principales agencias de crédito para añadir una alerta de fraude a su informe de crédito:
    • Equifax: 1-888-378-4329
    • Experian: 1-888-397-3742
    • TransUnion: 1-800-680-7289
  • Ordene y Monitoree Su Informe de Crédito: Después de colocar una alerta de fraude, solicite una copia gratuita de su informe de crédito para verificar cualquier actividad no autorizada.

Manténgase Informado

Para obtener información actualizada sobre este incidente, visite la página de seguridad de PowerSchool en https://www.powerschool.com/security/sis-incident/. Se espera que PowerSchool envíe una comunicación similar a esta carta.

Entendemos la preocupación que este incidente puede causar y queremos asegurarles que estamos comprometidos a abordarlo con transparencia y urgencia.

Gracias por su comprensión y cooperación.

Atentamente,
Señor Limón
Director Ejecutivo