勒索软件扼杀儿童隐私：今年超1200家美国中小学数据在暗网泄露

更新时间：2021-10-14

浏览量：811

据安全厂商统计，2021年至今，勒索软件团伙共发布了1200多所美国K-12学校的内部数据；

通过对暗网泄露数据分析，记者发现其中存在大量儿童个人信息，量级在数百万；

不少学校根本没意识到发生了数据泄露，父母对儿童信息泄露也缺乏追索能力，对于这一代儿童来说，他们是在数据泄露中成长的一代人。

没有银行卡，鲜少拥有征信评分，暗网上充斥着数百万学龄儿童的个人信息。

持续的勒索软件攻击浪潮已经给众多企业和机构造成数十亿美元损失，并导致从医院患者到警察的大量个人信息意外泄露。攻势还席卷了校园，目前我们已经能从黑客网站上看到来自数千所学校的内部文件。

我们从这些黑客网站上收集并分析了学校文件，并发现其中充斥着大量儿童个人信息。根据专业安全厂商Emsisoft的统计结果，2021年勒索软件团伙共发布了来自1200多所美国K-12学校的内部数据。

但就此事进行联系之后，不少学校似乎根本没意识到发生了数据外泄。而且即使学校能够在攻击后恢复运营，父母对于儿童信息曝光的现实也几乎没有追索能力。

有些数据属于个人信息，例如医疗状况或家庭财务状况等；也有一些属于其他数据，例如社保号码或生日等永久性身份指标。这类内容一旦泄露，可能会让孩子终生遭受潜在风险。

致力于帮助学校抵制网络威胁的非营利组织K-12安全信息交流中心主管Doug Levin表示，公立学校系统在保护学生数据免受专业黑客攻击方面的能力，甚至还远不及很多私营企业。

Levin指出，“我认为现在的情况已经非常明显，校方并没有对保障数据安全给予足够的重视，各方都对数据外泄之后该如何处置感到束手无策。另外，我觉得人们也并不清楚这类事件到底会带来怎样的安全风险。”

勒索软件加剧恶化，学校网络安全形势

专家们表示，十多年来黑客一直把学校视为常规攻击目标。他们窃取个人信息，再把数据打包出售给身份窃贼。但学校从来没有明确的法律规定，在黑客窃取学生信息后该如何处理。

近年来不断加剧的勒索软件攻势由让问题进一步恶化。如果校方不付款，黑客经常会在自己的网站上发布受害者信息。虽然普通人并不太清楚如何访问这些站点，但犯罪团伙却很清楚、也总是第一时间赶到现场。

信息发布之后，欺诈分子可以迅速采取行动。今年2月，就在俄亥俄州托莱多公立学校遭遇勒索软件攻击后几个月，黑客们在网上公布了学生的姓名和社保号码。一位家长在采访中表示，掌握这些信息的家伙已经在尝试办理信用卡并以这位小学生的名义申请汽车贷款。

去年12月，有黑客闯入得克萨斯南部边境附近的韦斯拉科独立学区。工作人员迅速采取行动，向超过48000名家长及监护人发出警报。他们听从了FBI的建议没有向黑客付款，并利用应急备份恢复了校方系统。

但由于拒不付款，黑客最终将窃取到的文件转储到了泄密网站上。目前，网络上仍然公开一个名为“学生基本信息”的Excel电子表格，其中包含约16000名学生的基本情况，相当于韦斯拉科当地20所学校一年招生人数的总和。表格按姓名列出了每一名学生，包括他们的出生日期、种族、社保号码和性别等，以及他们是否为移民、是否无家可归、是否经济窘迫、是否具有潜在的阅读障碍等等。

该学区技术执行董事Carlos Martinez表示，他们购买的网络保险会为员工提供免费的征信监控服务。但对于遭到黑客窃取的学龄儿童信息，现有保护体系还不够完善、很难发挥太多作用。Martinez指出，事件过去9个月后，韦斯拉科学区仍在摸索如何为学生们提供帮助。“我们的律师正在继续调查此事。”

学校数据泄露的影响尚不明确

勒索软件黑客主要受利益驱动，更倾向于寻找高收益目标。因此，他们往往会在网上发布一些零散文件的大杂烩，就连身为受害者的学区自己也往往弄不清楚到底丢失了哪些具体内容。

很多学校根本不知道自己在计算机上存储了哪些信息，因此也无法判断黑客的盗窃行为到底有多大影响。据当地通讯主管Kimberly Simpson回复的邮件，达拉斯地区的兰开斯特独立学区在今年6月遭受勒索软件攻击时曾向家长发出通报，但在之后的调查报告中称校方“尚未确认此事对员工或学生信息造成怎样的影响。”

不过根据后续跟踪，我们发现此次事件泄露出一份2018年的审计材料，其中列出了按年级及学校组织的6000多名有资格申请免费或减价餐的学生名单。Simpson并没有回应关于这项审计的评论请求。

有时候，学生的数据也会在其他第三方手中被泄露出去。今年5月，黑客发布了他们从阿波罗职业中心窃取的文件。作为一家地处俄亥俄州西北部的职业学校，阿波罗职业中心与11所地区高中保持合作。这些文件包括上一常年数百位高中生的成绩单，而且目前仍能从网上找到。

阿波罗职业中心发言人Allison Overholt在采访邮件中表示，他们仍在努力通知那些受到影响的学生。

她解释道，“我们正在开展事件调查，也在向学生及其他相关个人发布通知。我们会尽快完成通知工作。”

Levin提到，校方和学区往往掌握着大量儿童个人数据，但却没那么多预算聘用网络安全专家或者采购保护服务。

他感叹道，“学区会收集大量学生敏感数据，其中一部分与个人相关、也有一些涉及病史或者父母离异的执法记录。校方必须照顾好孩子们，这是一项严肃的义务，所以才需要收集这么多信息。”

如何采取行动

家长们很快就意识到，这些问题恐怕只能由他们来动手解决。校方甚至压根没意识到自己遭受到黑客入侵，也没想到学生的信息会被发布在暗网上。Levin强调，关于学生个人信息的联邦及州一级法律很少明确提及校方在遭遇黑客入侵时该如何应对。

面对这样的窘境，父母和孩子们几乎无力避免犯罪分子夺取其个人信息、并以受害者的名义进行身份盗窃或欺诈活动。帮助数据盗窃受害者的非营利组织身份盗窃资源中心主管Eva Velasquez表示，他们最重要的一项工作就是在孩子还未成年时冻结他们的征信记录。

Velasquez表示，“出于安全保护的立场，我们应该假定所有数据都已经泄露。自2005年以来，我们一直在面对各种各样的数据泄露事件。没有得到通知，并不代表数据就真的安全无忧。”

冻结孩子们的征信相当耗时，因为必须要由美国三大主要信用监管机构（Experian、Equifax和TransUnion）共同参与。但Velasquez认为，这已经成为保障数字安全的重要一环。

她总结道，“我们鼓励父母冻结孩子的征信。从身份盗窃的角度来看，这是消费者们所能采取的最有力、最积极的风险控制行动。这种方法适合儿童实际情况，而且完全免费。”