(纳闻记者孙寒霏报导)
芝加哥公立学校 (CPS) 透露,近 50 万学生和 50,000 多名工作人员已成为大规模数据泄露的牺牲品,涉及通过勒索软件攻击窃取个人信息。
根据 CPS 5 月 20 日的一份声明,CPS 的一家名为 Battelle for Kids 的技术供应商通知学区,2021 年 12 月 1 日,未经授权的一方获得了 495,448 份学生记录和 56,138 份员工记录的访问权限。
被盗的学生记录跨越 2015 年至 2019 年的四年时间,包括姓名、出生日期、性别、年级、学校、学生 ID 号、学生所学课程的信息以及用于教师的表演任务的学生分数评价。
涉及违规的员工记录包括姓名、学校、员工 ID 号、CPS 电子邮件地址以及有关四年期间教授的课程的信息。
CPS 表示,没有社会安全号码、没有财务信息、没有健康数据、没有当前课程或时间表信息、没有家庭住址、没有课程成绩、没有标准化考试成绩,也没有教师评估分数是安全漏洞的一部分。
CPS 代理首席信息官 Edward Wagner 在给家长的一封信 (pdf) 中表示,目前没有证据表明被盗数据已被滥用或提供给其他方。
“根据包括执法部门在内的数据安全专家的说法,数据中缺少财务信息会降低数据被滥用的可能性,”瓦格纳写道。
瓦格纳说,该事件已向执法部门报告,包括联邦调查局(FBI)和国土安全部(DHS),目前正在调查中。
“Battelle for Kids 目前正在监控并将继续监控互联网,以防数据被发布或分发,”瓦格纳写道。
CPS 表示,供应商 Battelle for Kids 已采取缓解措施,以减少未来发生类似数据泄露的可能性,包括增强网络安全性和聘请第三方安全公司提供“最新的防御和行业-网络安全方面的领先实践”。
本周早些时候,多个国家网络安全当局公布了犯罪分子最常用于破坏网络的十大网络攻击媒介。
“网络攻击者经常利用糟糕的安全配置(配置错误或不安全)、控制薄弱和其他糟糕的网络卫生实践来获得初始访问权限或作为其他策略的一部分来破坏受害者的系统,”由机构发布的联合咨询报告中写道来自美国、加拿大、新西兰、荷兰和英国。
网络安全警报包括缓解漏洞的指南,例如安全控制不力、安全配置薄弱以及威胁参与者经常利用的不良做法。
缓解措施包括增加使用多因素身份验证和使用专用管理工作站进行特权用户会话,同时限制本地管理员帐户远程登录的能力。
