萨斯喀彻温省的一个学校分部在发生安全漏洞事件后,被要求在暗网上监控现任和前任教职员工及学生的个人信息。
根据萨斯喀彻温省信息和隐私专员办公室的一份调查报告,东南基石公立学校第209学区估计,2023年2月8日,其三个IT系统遭到入侵,有多达20000人受到影响。报告称,萨斯喀彻温省信息与隐私专员办公室于去年 8 月收到了该系统被入侵的报告。
报告称,发现一名未经授权的用户将数据从八个“存档文件”移动到第三方云存储提供商,后来指出“除非单独拷贝一份,否则在账户被暂停后,事件背后的第三方有可能立即失去了对数据的访问权限。”
学校部门在周二的一封电子邮件中表示,第三方网络专家无法确认哪些信息被盗用(如果有的话)。
它说,部分员工的社会保险号码和银行信息以及前任和现任员工、学生和家长的姓名和联系方式可能被盗。所涉及的教职员工记录可追溯到2010年2月,学生的记录可追溯至1997年9月。
隐私委员会的报告还称,家长和学生的健康卡号码、年龄、性别和学生号码可能被盗。
萨斯喀彻温大学计算机科学副教授兼加拿大安全和隐私研究主席纳塔莉亚·斯塔哈诺娃(Natalia Stakhanova)称,可能泄露的信息量“令人震惊”。
“信息丢失或被盗的影响可能对一个人来说是终生的。”她说。
“它掌握在这些个人手中,他们可能会或可能不会使用这些数据,你甚至不知道他们何时决定使用这些数据以及如何使用。”
学校分部在一封电子邮件中表示,一家专门从事网络安全的第三方供应商一直代表学部监控所谓的“暗网”,迄今为止尚未发现任何被盗信息。
斯塔哈诺娃将暗网描述为一个不受监管的空间,其中有许多论坛,犯罪分子可以在这些论坛上买卖商品、信息或服务等物品。
她说,监控暗网意味着前往通常出售此类信息的特定论坛,并扫描对话和帖子。
她说,社会保险号码可用于开设银行账户、申请信用卡或抵押贷款等。她补充说,这对于那些处于危险之中的人来说压力很大。
数以百万计的社会保险号码被盗——但渥太华每年只更换几十个号码。
加拿大的政策是, 在没有证据证明现有社会保险号码被欺诈使用的情况下,就不会向某人发放新的社会保险号码。
“获得新[SIN]的人仍然要对旧[SIN]所发生的一切负责,”斯塔哈诺娃说。
教育总监基思·基廷(Keith Keating)在8月份在学区页面上发表的一篇文章中写道,东南基石学校无法弄清楚哪些数据被复制了。他概述了可能被盗的信息:
- 1997年至2008年在Assiniboia Park小学、Souris小学、Haig小学和Weyburn初中就读的人数:姓名、地址、学生证号、出生日期、年级和条约编号可能会受到影响。
- 2004 年至 2022 年期间所有东南基石公立学区学校就读的人数:注册的姓名、分数和课程可能会受到影响。
- 2011 年在该部门学校就读的在加拿大境外出生的人:出生国家和第一语言。
- 2012年至2022年该部门学校就读的人数:姓名、地址、电话号码、学习 ID 或学生 ID、出生日期、性别、年级、父母或监护人的姓名和电子邮件地址以及原住民身份可能会受到影响。
- 2013年至2022年在该部门学校就读的学生的家长或监护人:姓名、电话号码和电子邮件地址可能受到影响。
- 2018年至2021年在该部门学校就读的人数:健康卡号码可能受到影响。
基廷还写道,学区一直在扫描暗网,但没有发现数据已被发布的证据。
他还表示,学校已采取加强安全措施,以防止类似事件再次发生。
学校分部设在韦伯恩,但包括 35 所学校,北至罗坎维尔,西至奥格玛,南至比恩费特,东至玛丽菲尔德。
专员建议萨斯喀彻温省教育部门对暗网进行为期5年的扫描
萨斯喀彻温省的隐私专员罗纳德·克鲁泽尼斯基(Ronald Kruzeniski)在报告中写道,学校部门表示,一名休假近一年的员工的证件被泄露,但不知道是如何泄露的。学校告诉克鲁泽尼斯基,凭证仍然有效,因为该员工需要访问系统来教练篮球。
克鲁泽尼斯基告诉加拿大广播公司,学校部门很好地控制了这一数据泄露行为,对其进行了调查并通知了受影响的人,但也提出了一些建议,包括制定一项关于员工在休假期间访问系统的政策。
建议包括对网络访问、信息保留和密码策略进行策略更改,还提出了在违规后五年内监控暗网的长期建议。
克鲁泽尼斯基表示,这些信息可能会“被搁置六个月、一年甚至更长时间”。
“你永远不知道这些信息什么时候会被公布。”
他说,五年的建议并没有什么神奇的公式,但它已经成为一个标准,而且似乎比十年更合理。
斯塔哈诺娃说,五年时间不够。
她提到2012 年 LinkedIn 网络攻击时说:“在很多情况下,数据泄露中的信息没有立即被使用,而是后来被攻击者利用。 ”