如果你孩子的学校被黑客攻击,他们的个人信息被盗,你可能永远不会听说。
CBS 2发现了伊利诺伊州西南郊区的一个学区成为网络攻击目标。学生的个人信息被窃取,而家长和工作人员完全不知情,直到CBS 2调查员达纳-科兹洛夫(Dana Kozlov)告诉他们。
科兹洛夫根据CBS 2调查员拼凑的名单上的名字给郊区的陌生人打了电话。她打电话提醒他们,CBS 2发现他们最隐私的一些细节在暗网上公开曝光。
每个人都不知道他们的信息被盗,也不知道它是如何发生的。
Abnormal Security威胁情报总监克兰-哈索德(Crane Hassold)说:“把它想象成一个网络炸弹,它爆炸了,锁住了所有数据,显示了赎金字条,情况就这样发展下去。”
哈索德正在解释勒索软件。他说,这是一种网络攻击,在付款之前将敏感和个人数据作为人质。难以追踪的网络诈骗者是罪魁祸首。
“他们还说,如果你在某个日期之前不付钱给我们,他们就会把他们锁定的所有信息暴露给互联网上的所有人。”哈索尔德说。
非营利组织K12安全信息交流中心(K12 SIX)负责人道格-莱文(Doug Levin)说:“我们去年刚刚启动,因为学校部门面临的威胁。他记录了自2016年以来全国范围内近1200起学校网络攻击事件。”
所有这些“攻击”都被公开曝光。然而,莱文说,“那些从业者告诉我的是,我在公开披露的事件中看到的只是冰山一角。”
就学区面临的实际网络威胁数量而言,这只是冰山一角。但为什么?
“学生数据本身被认为是犯罪分子可以获得的更有价值的东西,因为他们拥有原始的信用记录。”莱文说。
CBS 2调查员向伊利诺伊州850个学区中的60个提交了公共记录请求,要求提供有关网络漏洞(包括勒索软件)的任何通信。Palos Community Consolidated School District 118承认在去年9月和12月发生了两次网络攻击。
该学区的内部电子邮件和其网站上的通知提到了这些攻击,并报告称已进行安全审计,“没有理由相信个人可识别的学生或工作人员的信息被破坏或以其他方式被泄露”。
然而,CBS 2调查员很快就发现这是错误的。
“你可以看到这些都是不同的文件。”哈索德说。
他在暗网上的数据挖掘发现了几十个118区的内部文件–他说,都是勒索软件攻击的结果。他在这些文件中发现了特别敏感的信息。
“这里有大量关于考试成绩的数据。”他说。
那不是全部。我们发现了更多关于新老学生的私人信息。一些文件会显示他们的姓名、地址和生日。然后是员工W-4税表,其中包括社会安全号码,其中一些表格可以一直追溯到1988年–超过30年了。
“这也表明,受害的可能不仅仅是学区的现有员工。”哈索尔德说。
姓名、地址、出生日期、社会安全号码——这些的某种组合都是坏人开始窃取身份过程所需要的。
“是的,绝对的。”哈索德说。“所以这些特定的信息可以用来做诸如提交欺诈性纳税申报表之类的事情。它们可用于提交欺诈性的失业申请。”
CBS 2提醒该地区注意敏感数据的暴露。在9月9日的电子邮件回复中,该区发言人再次表示,他们知道在去年的两次违规事件中没有个人信息被泄露。也许这就是为什么当我们联系几个家长时,他们告诉我们他们不知道他们孩子的信息被盗。我们联系的前工作人员也没有任何线索。
很明显,Palos并没有意识到他们的数据泄露有多严重。是的,他们在地区网站上发布了有关通知。但是,伊利诺伊州的学区实际上不需要告诉州教育委员会或州创新和技术部有关网络攻击的情况–这使得他们很难追踪。
在CBS 2调查员向罗宾逊讲述了缺乏透明度和追踪的情况后,伊利诺伊州议员拉蒙-J-罗宾逊(Lamont J. Robinson)说:“这是一个巨大的问题。“他是网络安全数据和分析委员会的主席。
在CBS 2调查员向罗宾逊讲述了缺乏透明度和追踪的情况后,他采取了措施,以提高该州的学校网络安全。
罗宾逊议员计划在11月提出立法,要求所有地区向斯普林菲尔德报告网络漏洞。
“学生的成绩、员工的社会保障信息或家庭住址不应该落入坏人之手,”罗宾逊说。“这些信息应该是安全的。”
他认为强制报告将有助于揭示网络攻击、勒索软件事件和其他涉及K-12教育的网络安全漏洞的真实范围。有了更多的认识和跟踪,该州的专家就可以帮助该州各地区(其中许多是小型和农村地区)防范攻击行为并从中恢复。
州专家还可以帮助各地区发现敏感信息是否被窃取。
至于帕洛斯,我们把该区的暗网数据文件的截图发给了校长安东尼-斯卡塞拉。他对我们表示感谢,并补充说,他们将把我们调查发现的信息交给他们的安全公司,以便与进行这些审计的团队一起审查。
118学区发言人不愿透露罪犯是否要求赎金或是否已支付赎金。我们的网络专家表示,阻止勒索软件攻击的一种方法是规范加密货币,这是攻击者首选的付款方式。