在过去的两周里,加拿大各地的教育局披露了与PowerSchool有关的重大数据泄露事件的细节,PowerSchool是中小学(K-12)用来管理学生信息的外部供应商。随着该网络攻击调查的继续,一些教育局表示,数十年前的学生数据也可能受到影响。尽管所涉及的数据范围广泛,但专家表示,家庭和学校仍然可以采取一些措施来保护自己。
阿尔伯塔省、安大略省、马尼托巴省、纽芬兰省、新斯科舍省、西北地区和爱德华王子岛的学校都使用外部供应商PowerSchool来管理学生的个人信息,有时还包括医疗信息、成绩和其他学习细节。有些学校还用其与学生家长沟通。
目前有关方面正在与PowerSchool合作,以确定泄露数据的严重程度。这一事件发生在12月底,当时一个用于向学校董事会提供平台技术支持的账户被侵入。纽芬兰省教育部长豪威尔(Krista Lynn Howell)指出,1995年以来的学生信息都受到了影响。其他教育局和学校董事会也纷纷透露了此次数据泄露中包含的具体内容,这些数据包括新斯科舍省布雷顿角(Cape Breton)学校过去和长期教职员工的社会保险号码,以及安大略省皮尔区(Peel District)教育局早在1965年的学生信息。
哪些学生数据受到了影响?学生的姓名、出生日期、家庭住址和电话号码。另外,根据不同的教育局,其他信息也可能被泄露,如学生的社会保险号码、年级、性别、医疗信息、紧急联系人和纪律记录。这一事件的严重性也同时引起了加拿大隐私专员的关注。
所涉学生如何获得有关此次事件的最新消息?据多伦多教育局发言人伯德(Ryan Bird)估计,此次信息泄露可能影响到他们从1985年9月到2024年12月的数据,涉及约149万名学生。他指出,过去的学生信息,包括后来成为多伦多教育局的各教育局的信息,都被保留在数据库中。他在周二说:“除了向家庭发送电子邮件,我们还必须努力广泛宣传,让人们知道他们可能受到了影响。”他补充说,多伦多教育局的在线“资源中心”上发布最新更新信息,这也是许多受影响的教育局的共同做法。他说,校董会还在等待有关如何访问 PowerSchool 提供的信用监控和身份盗窃保护的最终细节。
犯罪分子会如何使用学生数据?网络安全服务公司ESET的专家安斯科姆(Tony Anscombe)说,有了学生的姓名、年级和家长的电子邮件等基本信息,网络犯罪分子可以轻易地设计出一个网络钓鱼骗局,套取信用卡信息。例如,它可能看起来像一个通知,敦促你点击链接为三年级学生的学校旅行付款。也可能是一个来自学校分部的Email,邀请你在这一事件发生后注册信用监控。
家长和学校能做些什么?安斯科姆说,此类事件发生后,家长可以采取一些措施:
和孩子们交流信息泄露事件,让他们注意学校电子邮件中的异常情况,如网络钓鱼企图。
更改学校账户密码。如果密码恢复提示中包含可能已泄露的信息(如母亲的娘家姓),也要进行更改。
为所有账户开启双步骤身份验证。
为孩子设置信用监控。安斯科姆说,以此来锁住信用记录。“在你解锁之前,它可以阻止任何人实际使用它。”
对报价的电子邮件持怀疑态度。他说,网络犯罪分子可能会制造一个电子邮件骗局,提供信用监控和防止身份盗用的保护,而这将涉及泄露大量敏感数据。请通过访问教育局或学校网站或致电他们确认该邮件是否真实,而不是立即点击电子邮件中的链接。要“核实所有的信息,不要轻信任何东西。”
当学校发来表格提示输入个人信息时,考虑一下是否每个字段都绝对有必要填写,并向学校询问。
这次信息泄露事件可能会促使学校重新审视他们保存了哪些类型的学生信息。多伦多教育局发言人伯德承认,学校每年都会要求学生提供大量个人信息,但在发生泄密事件后,TDSB 已决定停止收集医疗保险卡号,并将从系统中删除已收集的医疗保险卡号。安斯科姆指出,资金不足的学校董事会可能缺乏其他部门的网络安全资源和技能组合,但无论如何,校区IT部门仍然可以采取行动。虽然有人说学校网络攻击只是时间问题,而不是是否发生的问题,但安斯科姆认为,如果学校有正确的流程和网络安全措施,网络攻击就不会发生。(来源:RCI)
