勒索软件团伙从学校窃取并在网上发布的机密文件是原始、私密和生动的。他们描述了学生性侵犯、精神病院、虐待父母、逃学——甚至自杀企图。
“请做点什么吧,”一名学生在一份泄露的文件中恳求道,他回忆起在明尼阿波利斯的一所学校里不断遇到前施虐者的创伤。其他受害者谈到尿床或哭着入睡。
今年3月,明尼阿波利斯公立学校的3.6万名学生拒绝支付100万美元的赎金后,30多万份文件在网上被泄露,其中包括包含这些细节的完整性侵犯案件档案。其他暴露的数据包括医疗记录、歧视投诉、社会安全号码和地区员工的联系信息。
由于拥有丰富的数字化数据,这个国家的学校成为了远程黑客犯罪的主要目标,他们正在孜孜不倦地寻找和挖掘不久前还被锁在橱柜里的敏感文件。“在这种情况下,每个人都有一把钥匙,”网络安全专家伊恩·科尔德沃特(Ian Coldwater)说,他的儿子在明尼阿波利斯一所高中上学。
由于经常资金短缺,各学区的装备严重不足,不仅无法保护自己,而且在受到攻击时也无法做出勤奋和透明的反应,尤其是在他们努力帮助孩子们摆脱疫情和应对预算缩减的情况下。
在明尼阿波利斯袭击事件发生几个月后,管理人员并没有兑现告知个人受害者的承诺。与医院不同,没有联邦法律要求学校发出这种通知。
美联社联系到了六名性侵案件档案被曝光的学生的家属。记者的消息是第一次有人提醒他们。
“事实是,他们没有通知我们任何事情,”一位母亲说,她儿子的案件档案有80份文件。
即使学校发现了正在进行中的勒索软件攻击,数据通常也已经消失了。这就是洛杉矶联合学区在上个劳动节周末所做的,结果却看到1900多名前学生的私人文件——包括心理评估和医疗记录——被泄露到网上。直到今年2月,当地官员才披露了此次入侵的全部规模,并指出,通知受害者泄露的文件长达30年之久,是一件很复杂的事情。
事实证明,学校勒索软件攻击的持久影响并不在于学校关闭、恢复成本,甚至不在于飙升的网络保险费。这是美联社在公开互联网和暗网上发现的私人记录在网上曝光给教职员工、学生和家长带来的创伤。
“大量的信息被发布在网上,没有人去看看这一切有多糟糕。或者,即使有人在寻找,他们也不会公开结果,”网络安全公司Emsisoft的分析师布雷特·卡洛(Brett Callow)说。
最近遭受数据盗窃的其他大地区包括圣地亚哥、得梅因和亚利桑那州的图森。尽管这些黑客攻击的严重程度尚不清楚,但所有人都受到了批评,要么是承认受到勒索软件攻击的行动迟缓,要么是通知受害者的行动迟缓,要么两者兼而有之。
在网络安全方面,学校落后了
虽然其他勒索软件的目标已经加强和分割了网络,加密数据并强制进行多因素认证,但学校系统的反应较慢。
网络安全公司Recorded Future的分析师艾伦·里斯卡(Allan Liska)说,到目前为止,勒索软件可能已经影响了超过500万名美国学生,今年的地区攻击有望上升。根据联邦政府资助的非营利组织互联网安全中心(Center for Internet Security)的一项调查,到2021年底,美国近三分之一的地区遭到入侵。
“每个人都希望学校更安全,但很少有人希望看到他们的税收增加,”里斯卡说。
阿尔伯克基学校负责人斯科特·埃尔德说,家长们转而将有限的资金用于双语教师和新橄榄球头盔等方面。阿尔伯克基学区在2022年1月遭受了勒索软件攻击。
互联网安全中心(Center for Internet Security)的网络威胁情报经理TJ塞耶斯(TJ Sayers)说,就在三年前,犯罪分子还不会经常通过勒索软件攻击获取数据。他说,现在,这很常见,其中大部分在暗网上出售。
明尼阿波利斯盗窃案的罪犯尤其凶狠。他们在Facebook、Twitter、Telegram和暗网上分享了被盗数据的链接,而标准浏览器无法访问这些链接。在YouTube的竞争对手Vimeo上,有一段时间出现了一份手写的纸条,上面写着三名参与性虐待投诉的学生,Vimeo很快就删除了这段视频。
攻击洛杉矶联队的网络犯罪集团就没那么厚颜无耻了。但是,该公司在其暗网“泄密网站”上倾倒的500g数据在6月份仍然可以免费下载。这些文件包括财务记录和带有社保卡和护照扫描件的人事档案。
心理学家说,公开披露附有学生姓名的心理记录或性侵犯案件档案,可能会使心理紧张,阻碍职业发展。从洛杉矶联队(Los Angeles United)被盗的一份文件描述了一名中学生如何企图自杀,并在一年内进出精神病院十几次。
一位16岁自闭症孩子的母亲最近收到了来自圣地亚哥联合学区的一封信,信中说她女儿的医疗记录可能在10月25日被泄露到网上。
芭芭拉·沃伊特问道:“如果她不想让全世界知道她患有自闭症怎么办?″。
在涓涓细流中,缺口的程度显现出来
从美联社得知被泄露的性侵犯投诉的明尼阿波利斯父母感到双重受害者。他们的孩子一直在与创伤后应激障碍作斗争,有些人甚至辍学了。现在这个。
其中一个家庭的律师杰夫·斯特姆斯说:“得知这些高度敏感的信息现在可以在互联网上永久地获得,让孩子未来的朋友、恋人、雇主和其他人发现,这家人感到非常震惊。”美联社的政策是不确定性侵受害者的身份。
与此同时,教师们想知道,为什么他们必须打电话给学区报告问题,才能在他们的社会安全号码泄露后获得承诺的免费信用监控和身份盗窃保护。
明尼阿波利斯教师联合会的格里塔·卡拉汉说:“他们所知道的一切都来自新闻。”
明尼阿波利斯学校发言人克里斯蒂娜·卢戈-比奇不愿透露到目前为止已经联系了多少人,也不愿回答美联社关于这次袭击的任何其他问题。
到4月初,学校护士安吉·麦克拉肯(Angie McCracken)已经通过信用卡收到了10次警告,称她的社会安全号码和出生日期在暗网上流传。她对自己即将毕业的18岁孩子感到好奇。“如果他们的身份被盗用,那我孩子的生活会有多艰难?”
Emsisoft的卡洛说,尽管家长和老师感到沮丧,但事件反应小组经常建议学校关注法律责任问题和赎金谈判,不要提高透明度。明尼阿波利斯学校官员显然遵循了这一套路,最初将2月17日的攻击隐晦地描述为“系统事件”,然后是“技术困难”,后来是“加密事件”。
然而,当一个勒索软件组织在两周后发布了被盗数据的视频时,泄露的程度变得清晰起来,该地区在泄露文件之前有10天的时间支付赎金。
根据联邦调查局的长期建议,该地区拒绝支付赎金,联邦调查局称赎金会鼓励犯罪分子瞄准更多的受害者。
学校把技术预算花在学习工具上,而不是安全上
在2019冠状病毒病大流行期间,各地区优先考虑了互联网连接和远程学习方面的支出。芝加哥大学(University of Chicago)和纽约大学(New York University)的研究人员发现,由于IT部门投资于跟踪学生参与度和表现的软件,安全问题受到了忽视,往往是以牺牲隐私和安全为代价的。
在2023年的一项调查中,以技术为导向的非营利组织学校网络联盟(Consortium for School Networking)发现,只有16%的学区拥有全职的网络安全人员,近一半的学区将2%或更少的IT预算用于安全。
由于私营部门网络安全人才短缺,各学区难以留住这些人才。该协会的首席执行长凯斯•克鲁格(Keith Krueger)说,那些确实雇人的地区,往往会被能给他们双倍薪水的企业抢走。
用于公立学校的网络安全资金是有限的。目前,联邦政府将在未来四年拨款10亿美元用于网络安全,各区只能指望得到其中的一小部分。
明尼苏达州首席信息安全官约翰·伊斯雷尔(John Israel)说,明尼苏达州今年获得了1800万美元的拨款,分配给3600个不同的实体,包括城市和部落政府。州议员为学校的网络和物理安全提供了额外的2250万美元拨款。
学校还希望利用一项名为E-Rate的联邦计划,该计划旨在改善学校和图书馆的宽带连接。在洛杉矶联合航空公司的数据泄露事件发生后,超过1100人写信给联邦通信委员会,要求修改E-Rate,为网络安全腾出资金。FCC仍在考虑这一请求。
对于明尼阿波利斯一名学生的母亲来说已经太晚了,这名学生的秘密性侵犯投诉被发布在网上。她几乎觉得“又被侵犯了”。
“所有我们保密的东西,”她说,“都公开了。它已经存在很长时间了。”
