勒索軟件扼殺兒童隱私：今年超1200家美國中小學數據在暗網泄露

據安全廠商統計，2021年至今，勒索軟件團伙共發布了1200多所美國K-12學校的內部數據；

通過對暗網泄露數據分析，記者發現其中存在大量兒童個人信息，量級在數百萬；

不少學校根本沒意識到發生了數據泄露，父母對兒童信息泄露也缺乏追索能力，對于這一代兒童來說，他們是在數據泄露中成長的一代人。

沒有銀行卡，鮮少擁有征信評分，暗網上充斥著數百萬學齡兒童的個人信息。

持續的勒索軟件攻擊浪潮已經給眾多企業和機構造成數十億美元損失，并導致從醫院患者到警察的大量個人信息意外泄露。攻勢還席卷了校園，目前我們已經能從黑客網站上看到來自數千所學校的內部文件。

我們從這些黑客網站上收集并分析了學校文件，并發現其中充斥著大量兒童個人信息。根據專業安全廠商Emsisoft的統計結果，2021年勒索軟件團伙共發布了來自1200多所美國K-12學校的內部數據。

但就此事進行聯系之后，不少學校似乎根本沒意識到發生了數據外泄。而且即使學校能夠在攻擊后恢復運營，父母對于兒童信息曝光的現實也幾乎沒有追索能力。

有些數據屬于個人信息，例如醫療狀況或家庭財務狀況等；也有一些屬于其他數據，例如社保號碼或生日等永久性身份指標。這類內容一旦泄露，可能會讓孩子終生遭受潛在風險。

致力于幫助學校抵制網絡威脅的非營利組織K-12安全信息交流中心主管Doug Levin表示，公立學校系統在保護學生數據免受專業黑客攻擊方面的能力，甚至還遠不及很多私營企業。

Levin指出，“我認為現在的情況已經非常明顯，校方并沒有對保障數據安全給予足夠的重視，各方都對數據外泄之后該如何處置感到束手無策。另外，我覺得人們也并不清楚這類事件到底會帶來怎樣的安全風險。”

勒索軟件加劇惡化

學校網絡安全形勢

專家們表示，十多年來黑客一直把學校視為常規攻擊目標。他們竊取個人信息，再把數據打包出售給身份竊賊。但學校從來沒有明確的法律規定，在黑客竊取學生信息后該如何處理。

近年來不斷加劇的勒索軟件攻勢由讓問題進一步惡化。如果校方不付款，黑客經常會在自己的網站上發布受害者信息。雖然普通人并不太清楚如何訪問這些站點，但犯罪團伙卻很清楚、也總是第一時間趕到現場。

信息發布之后，欺詐分子可以迅速采取行動。今年2月，就在俄亥俄州托萊多公立學校遭遇勒索軟件攻擊后幾個月，黑客們在網上公布了學生的姓名和社保號碼。一位家長在采訪中表示，掌握這些信息的家伙已經在嘗試辦理信用卡并以這位小學生的名義申請汽車貸款。

去年12月，有黑客闖入得克薩斯南部邊境附近的韋斯拉科獨立學區。工作人員迅速采取行動，向超過48000名家長及監護人發出警報。他們聽從了FBI的建議沒有向黑客付款，并利用應急備份恢復了校方系統。

但由于拒不付款，黑客最終將竊取到的文件轉儲到了泄密網站上。目前，網絡上仍然公開一個名為“學生基本信息”的Excel電子表格，其中包含約16000名學生的基本情況，相當于韋斯拉科當地20所學校一年招生人數的總和。表格按姓名列出了每一名學生，包括他們的出生日期、種族、社保號碼和性別等，以及他們是否為移民、是否無家可歸、是否經濟窘迫、是否具有潛在的閱讀障礙等等。

該學區技術執行董事Carlos Martinez表示，他們購買的網絡保險會為員工提供免費的征信監控服務。但對于遭到黑客竊取的學齡兒童信息，現有保護體系還不夠完善、很難發揮太多作用。Martinez指出，事件過去9個月后，韋斯拉科學區仍在摸索如何為學生們提供幫助。“我們的律師正在繼續調查此事。”

學校數據泄露的影響尚不明確

勒索軟件黑客主要受利益驅動，更傾向于尋找高收益目標。因此，他們往往會在網上發布一些零散文件的大雜燴，就連身為受害者的學區自己也往往弄不清楚到底丟失了哪些具體內容。

很多學校根本不知道自己在計算機上存儲了哪些信息，因此也無法判斷黑客的盜竊行為到底有多大影響。據當地通訊主管Kimberly Simpson回復的郵件，達拉斯地區的蘭開斯特獨立學區在今年6月遭受勒索軟件攻擊時曾向家長發出通報，但在之后的調查報告中稱校方“尚未確認此事對員工或學生信息造成怎樣的影響。”

不過根據后續跟蹤，我們發現此次事件泄露出一份2018年的審計材料，其中列出了按年級及學校組織的6000多名有資格申請免費或減價餐的學生名單。Simpson并沒有回應關于這項審計的評論請求。

有時候，學生的數據也會在其他第三方手中被泄露出去。今年5月，黑客發布了他們從阿波羅職業中心竊取的文件。作為一家地處俄亥俄州西北部的職業學校，阿波羅職業中心與11所地區高中保持合作。這些文件包括上一常年數百位高中生的成績單，而且目前仍能從網上找到。

阿波羅職業中心發言人Allison Overholt在采訪郵件中表示，他們仍在努力通知那些受到影響的學生。

她解釋道，“我們正在開展事件調查，也在向學生及其他相關個人發布通知。我們會盡快完成通知工作。”

Levin提到，校方和學區往往掌握著大量兒童個人數據，但卻沒那么多預算聘用網絡安全專家或者采購保護服務。

他感嘆道，“學區會收集大量學生敏感數據，其中一部分與個人相關、也有一些涉及病史或者父母離異的執法記錄。校方必須照顧好孩子們，這是一項嚴肅的義務，所以才需要收集這么多信息。”

如何采取行動

家長們很快就意識到，這些問題恐怕只能由他們來動手解決。校方甚至壓根沒意識到自己遭受到黑客入侵，也沒想到學生的信息會被發布在暗網上。Levin強調，關于學生個人信息的聯邦及州一級法律很少明確提及校方在遭遇黑客入侵時該如何應對。

面對這樣的窘境，父母和孩子們幾乎無力避免犯罪分子奪取其個人信息、并以受害者的名義進行身份盜竊或欺詐活動。幫助數據盜竊受害者的非營利組織身份盜竊資源中心主管Eva Velasquez表示，他們最重要的一項工作就是在孩子還未成年時凍結他們的征信記錄。

Velasquez表示，“出于安全保護的立場，我們應該假定所有數據都已經泄露。自2005年以來，我們一直在面對各種各樣的數據泄露事件。沒有得到通知，并不代表數據就真的安全無憂。”

凍結孩子們的征信相當耗時，因為必須要由美國三大主要信用監管機構（Experian、Equifax和TransUnion）共同參與。但Velasquez認為，這已經成為保障數字安全的重要一環。

她總結道，“我們鼓勵父母凍結孩子的征信。從身份盜竊的角度來看，這是消費者們所能采取的最有力、最積極的風險控制行動。這種方法適合兒童實際情況，而且完全免費。”

參考來源：nbcnews.com