家长们很快就了解到,解决这些问题可能会落在他们身上。学校甚至可能不知道他们是否被黑客入侵,或者这些黑客是否在暗网上发布了学生的信息。
没有银行密码,没有有信用评分,暗网仍然充斥着数百万儿童的个人信息。
正在进行的勒索软件攻击浪潮已经使公司和机构损失了数十亿美元,并暴露了从医院病人到警察的个人信息。它还席卷了学区,这意味着成千上万所学校的文件目前在这些黑客的网站上可见。
NBC新闻从这些网站收集并分析了学校档案,发现其中充斥着儿童的个人信息。根据网络安全公司Emsisoft的勒索软件分析师布雷特·卡洛(Brett Callow)向NBC新闻提供的统计数据,2021年,勒索软件团伙发布了来自1,200多所美国K-12学校的数据。
一些被泄密事件关联的学校似乎没有意识到这个问题。即使学校在受到攻击后能够恢复运作,当他们孩子的信息被泄露时,家长也没有什么办法。
有些数据是个人数据,例如医疗状况或家庭财务状况。其他数据,如社会安全号码或生日,是他们身份的永久永久标志,它们的失窃可能会让孩子一生遭受潜在的身份盗窃。
致力于帮助学校抵御网络威胁的非营利组织K12安全信息交流中心主任道格-莱文(Doug Levin)说,与许多私营企业相比,公立学校系统在保护学生的数据免受专门的犯罪黑客攻击方面的装备甚至更差。
“我认为现在很明显,他们没有对如何确保数据安全给予足够的重视,而且我认为每个人都对暴露后该怎么做束手无策。”莱文说。“而且我认为人们并不能很好地掌握这种曝光面有多大。”
日益严重的问题
专家说,十多年来,学校一直是黑客的一个常规目标,他们贩卖人们的数据,通常将其捆绑并出售给身份窃贼。但从来没有明确的法律规定,学校在发生黑客窃取学生信息事件后该如何处理。
最近勒索软件的增加加剧了这个问题,因为如果他们不付款,这些黑客通常会在他们的网站上发布受害者的文件。虽然普通人可能不知道在哪里可以找到此类站点,但犯罪分子可以轻松找到它们。
诈骗者在信息发布后可以迅速采取行动。今年2月,俄亥俄州托莱多公立学校遭到勒索软件黑客攻击,黑客在网上公布了学生的姓名和社会安全号码,一位家长告诉托莱多的WTVG电视台,拥有这些信息的人已经开始试图以他上小学的儿子的名义办理信用卡和汽车贷款了。
去年12月,当黑客闯入德克萨斯州南部边境附近的Weslaco独立学区时,工作人员迅速采取行动,向超过48,000名家长和监护人发出警报。他们听从了FBI的建议,不向黑客付款,并从他们为此类紧急情况保留的备份中恢复了他们的系统。
但是,由于Weslaco决定不付款,黑客们将他们窃取的文件泄露在他们的网站上。一个仍然发布在网上的是一个名为“学生基本信息”的Excel电子表格,其中列出了大约16,000名学生,大约是Weslaco20所学校去年学生人数的总和。它按姓名列出学生,包括他们的出生日期、种族、社会安全号码和性别的条目,以及他们是否是移民、无家可归者、被标记为经济困难者和是否被标记为潜在的阅读障碍者。
该学区的技术执行董事卡洛斯·马丁内斯(Carlos Martinez)表示,该学区的网络保险为员工提供免费信用监控服务。但是,对于信息由学校存储并被黑客暴露的儿童的保护更加模糊。马丁内斯说,九个月后,韦斯拉科学区仍在想办法为信息泄露的学生做些什么,如果有的话。
“我们现在有律师正在研究这个问题。”他说。
影响不明确
勒索软件黑客主要受利润驱动,并倾向于寻找存在机会的目标。这意味着他们在网上发布的信息通常是他们能够窃取的零散文件的大杂烩,甚至学校自己也可能不知道被窃取和暴露的内容。
由于许多学校根本不知道存储在所有计算机上的所有信息,因此他们可能没有意识到黑客窃取的程度,这一事实使问题更加严重。当达拉斯地区的兰开斯特独立学区在6月份遭到勒索软件攻击时,它提醒家长,但告诉他们学校的调查“尚未确认对员工或学生信息有任何影响”,该学校的通讯主管金伯利·辛普森(Kimberly Simpson)在一封电子邮件中说。
但NBC新闻对从该黑客事件中泄露的文件的调查发现,2018年的一项审计报告列出了按年级和学校排列的6,000多名学生信息,以及是否有资格获得免费或减价餐。辛普森没有回应关于该审计的评论请求。
有时,学生的数据被泄露是因为第三方持有这些数据。今年5月,黑客公布了他们从阿波罗职业中心盗取的文件,该中心是俄亥俄州西北部的一所职业学校,与11所地区高中合作。这些文件包括数百名高中生上一学年的成绩单,这些成绩单目前都是可见的。
Apollo的发言人Allison Overholt在一封电子邮件中表示,该组织仍在努力通知信息被泄露的学生。
她说:“我们知道这起事件并正在调查,我们正在向学生和其他涉及信息的个人提供通知,并将尽快完成通知。”
莱文说:“学校和社区往往会存储大量关于儿童的数据,而且他们通常没有钱支付专门的网络安全专家或服务的费用。”
他说:“学校收集了大量关于学生的敏感数据,其中一些是关于其学生的。有些是关于他们的医疗史。它可能与执法部门有关。它可能与破碎的家庭有关。学校照顾孩子是一项庄严的责任,所以他们收集了很多数据。”
采取行动
家长们很快就了解到,解决这些问题可能会落在他们身上。学校甚至可能不知道他们是否被黑客入侵,或者这些黑客是否在暗网上发布了学生的信息。莱文说,关于学生信息的联邦和州法律通常没有明确指导如果学校被黑客入侵该怎么办。
这使得父母和孩子几乎无能为力来保护自己免受犯罪分子访问他们的个人信息并使用它以他们的名义进行身份盗窃或欺诈的可能性。帮助数据盗窃受害者的非营利组织身份盗窃资源中心(Identity Theft Resource Center)的总裁伊娃·贝拉斯克斯(Eva Velasquez)表示,他们能做的最重要的一件事就是在他们还未成年时冻结他们的信用。
“我们应该相信,在大多数情况下,我们所有的数据都被泄露了。”Velasquez说,”自2005年以来,我们一直在处理数据泄露的问题,它们绝对是无处不在的,你没有收到通知并不意味着它没有发生。”
冻结孩子的信用可能很耗时,要有效地做到这一点,需要在所有三个主要的信用监测服务机构,即Experian、Equifax和TransUnion完成这一过程。但这已成为数字安全的一个重要步骤,Velasquez说。
“我们鼓励父母冻结孩子的信用,”她说,“从身份盗窃的角度来看,这是消费者可以采取的最有力、最积极的步骤之一,以最大限度地降低风险。它适用于儿童,而且是免费的。”
Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/1258.html