图片源于:https://calgaryjournal.ca/2025/02/12/federal-privacy-commissioner-investigates-powerschool-breach-affecting-calgary-students/
加拿大的隐私专员已对影响数百万名加拿大学生和教师的PowerSchool安全漏洞展开调查。
这项联邦调查专注于PowerSchool,这是一家为K-12学校提供流行学习管理软件的公司,其中包括卡尔加里教育局(CBE)。
该软件公司在2月7日的书面声明中表示,它在2024年12月28日得知其系统遭遇了网络攻击,个人信息约6200万名学生和950万名教师在美国和加拿大被盗。
泄露的信息包括当前和前任学生及教师的姓名、联系方式、出生日期、医疗警报信息和社会保险号码。
“在获取这些信息后,现在可以进行很多攻击,”蒙特皇家大学数学与计算系的副教授Khosro Salmani表示,他专注于数据隐私。“例如,未来他们可以开始使用身份盗窃和欺诈,针对性的钓鱼攻击,以及社交工程攻击会变得更加容易,因为他们了解受害者或可能想要攻击的人。”
据Bleeping Computer首度报道,PowerSchool在回应此次攻击时 reportedly支付了一笔赎金,以防止被盗数据的泄露。
一些专家对此表示怀疑,认为被黑客窃取的信息是否已被删除,因为提供给PowerSchool的视频证据可能容易伪造。
PowerSchool在1月初通知了受影响的学校、教育工作者和学生,并为所有相关人员提供了两年的信用监控和身份识别服务。
关于受影响的卡尔加里学校,CBE在其对卡尔加里日报的声明中表示:“当我们在1月7日获知涉及PowerSchool的网络安全事件时,我们立即开始进行内部调查,以了解漏洞是如何发生的,以及可能被盗的信息。”
尽管这一学校董事会的学生和教育工作者受到影响,卡尔加里教育局表示,他们尚未收到PowerSchool关于受影响学生和教师人数的确认,不过Bleeping Computer估计,该人数超过60万。
“我们不能忘记这些都是学生,他们只是青少年和孩子,他们在未来的生活中还有很长的路要走,”Salmani说。“所有这些信息现在就在外面,未来的生活中,某些人可能会利用这些信息来获取好处。因此,这些都是我们应该担心的事情。”
尽管对于个人来说,采取数据保护措施非常重要——包括为每个应用程序使用不同且独特的密码——Salmani强调,对于企业来说,实施如双因素身份验证等安全措施可以防止此类事件的发生。
他表示:“我不知道我们还要等多少次事件发生才能吸取教训。”他说:“几年前,23andMe也发生过同样的问题,该公司负责许多记录,包括祖谱、DNA检测等,对吧?他们遭遇了同样的困境。”“双因素身份验证已存在很多年了。我们唯一需要做的就是在我们的安全系统中实施它。”
调查已开始,联邦隐私专员的调查是在《个人信息保护和电子文件法》下进行的。
“我的办公室已经与PowerSchool的代表进行过讨论,并在积极参与此事,以确保该组织采取适当措施应对此次泄露事件,”隐私专员Philippe Dufresne在宣布调查时表示。“我的首要任务是确保公司采取必要措施来解决问题和保护加拿大人的个人信息,特别是泄露事件的处理和减少受影响者风险的措施,以及防止未来泄露的行动。”
这位联邦隐私监督员还将与省级隐私官员合作,例如阿尔伯塔省的信息和隐私专员办公室,该办公室表示已经接到了30多起阿尔伯塔省学校的安全漏洞通知。
加拿大估计有80个学校董事会受到此次数据泄露的影响,其中超过30个在阿尔伯塔省。尚不清楚每个学区中受损的信息程度。
