加拿大最大的教育局和北美其他教育局收到了与寒假期间发生的大规模 PowerSchool 网络安全漏洞有关的赎金要求——此前该公司向黑客支付了赎金以删除被盗数据。

多伦多地区教育局(TDSB)周三表示，尽管保证数据已被删除，但事实并非如此。

该委员会周三在给受害者家属的一封电子邮件中表示，他们收到了“威胁行为者”提出的赎金要求，要求使用2024年12月泄露的数据。

加拿大各地的学区——包括阿尔伯塔省、安省、马尼托巴省、纽芬兰和拉布拉多省、新斯科舍省、西北地区、爱德华王子岛省和萨斯喀彻温省——主要使用这家加州公司的网络系统来管理学生个人信息，有时还包括医疗信息、成绩和其他详细信息。有些学区将其用作与家长沟通的门户。

此次数据泄露事件涉及不同类型的数据，有些甚至涉及数十年前的数据。根据董事会的说法，这些数据可能包括姓名、出生日期、家庭住址和电话号码。在其他情况下，甚至可能泄露了更多个人信息，例如学生证号码、性别、医疗信息和紧急联系人。

该公司周三表示，支付赎金的决定十分艰难。但该公司并未透露支付的具体金额。该公司在一份声明中表示：“我们相信这符合我们的客户以及我们所服务的学生和社区的最佳利益。”并补充说，新的赎金要求已报告给美国和加拿大执法部门。

“我们对这些事态发展深感遗憾——我们的客户再次受到威胁和伤害，这让我们感到痛心。”多伦多和卡尔加里教育委员会再次鼓励家庭寻求 PowerSchool 提供的信用监控和身份保护服务。

安省伦敦的技术分析师Carmi Levy表示，这一最新进展是“最坏的情况成真”。“每当支付赎金时，就意味着要承担风险，不幸的是，在这种情况下，他们赌博并且输了。”

莱维表示，包括学生信息在内的数据对网络犯罪分子来说具有很高的价值，他们可以将这些数据与其他违规行为中窃取的详细信息结合起来，创建更全面的数据包，用于身份盗窃或金融攻击。

他说：“即使是像我们长大的家庭住址或我们小时候老师的名字这样无害的信息，也可能被用来访问现在确实重要的其他账户，比如我们的银行账户。” “这些数据极具破坏性，非常私密，而且落入网络犯罪分子手中，可能会造成严重损害。” 多伦多城市大学罗杰斯网络安全催化剂执行董事查尔斯芬利表示，就网络安全而言，“攻击者只需成功一次，而防御者必须一直成功。”

他说，学校董事会可以采取很多措施来改善他们所托管数据的安全保护方式，并使网络攻击“尽可能困难，并使此类事件尽可能少发生”。

对于多伦多家长Jack Ammendolia来说，学校董事会发送清晰、诚实和更定期的更新信息也将受到欢迎。 他有一个二年级的儿子，多年来一直在关注多伦多教育局有关此事和其他违规行为的电子邮件。 “到了这个时候，我觉得你开始对这些保证失去信心了，”他说。“这种情况已经发生过好几次了。” 8月份，董事会又遭遇了一次网络攻击。

例如，Ammendolia 以个人身份向安省信息和隐私专员报告了 PowerSchool 违规行为，并表示他此后收到了最新消息，其中包括TDSB为改善其数据安全性所做的一些努力。他说，他认为这些信息应该与所有家长广泛分享，而不仅仅是那些向隐私专员寻求帮助的家长。

他说，没有人指望学校能够阻止每一次网络攻击，但“希望能够采取措施降低发病率，并让家长更多地了解这些攻击”。