據悉,再有超過38萬名市公立學校學生的個人資料在大規模網路攻擊中遭黑客入侵,使受影響的學童總數超過100萬人。
據《紐約郵報》報道,市教育局上周開始發信,通知數十萬在校和離校學生,告知他們成為了教育局前軟體供應商之一的網路攻擊受害者。
當局表示,最初報告稱約有80萬名在校學生和離校學生受到影響,但供應商其後於10月再發通知,稱還有大量學童也成為受害者。信中指出,被黑客入侵的個人資訊包括學生姓名、出生日期、種族、學業紀錄和入學情況;但社安號碼或財務資訊則沒有外洩。
市教育局表示,正在透過服務供應商IDX向受影響的學生提供兩年的免費信用和身分監控服務,以幫助防止身分盜竊。此次安全漏洞發生於2021年12月下旬至2022年1月初,涉及市教育局當時的軟體公司Illuminate,後者提供評分、出席和訊息平台,其中一些受害者學生在安全漏洞發生前幾年已經畢業離校。
在發生黑客事件之後,市公校系統已經與Illuminate斷絕了聯繫。
最近給受影響人士信中寫道,「最新確定約38.7萬名紐約市公立學校在校學生和前學生,受到Illuminate於2022年的數據安全事件影響。」但當局官員其後修正,稱受影響人數應為38.1萬人。
市教育局表示,另外9.4萬名公立學校的現任和前任學生也收到了第二次通知,因為Illuminate發現了他們有更多個人資料受2022年安全事件的影響。
市教育局首席訊息長沙基爾(Intekhab Shakil)及首席隱私長多伊(Dennis Doye)去年發給受影響學生的信中寫道,「紐約市公立學校正在寫信給你,通報兩年前發生的涉及Illuminate Education公司資料安全事件的最新情況,當局正嚴肅處理這一情況。」
官員堅稱目前已經加強了網路安全協議,並強調已要求承包商負責保護學生的隱私。信中寫道,「市公立學校致力於保護學生個人資料的隱私,我們制定了全面的安全合規流程,以幫助確保接觸學生資訊的公司也同意遵守聯邦、州和地方法律,並幫助保護你的數據。繼2022年Illuminate事件之後,當局已採取措施,進一步確保學校不會使用涉及供應商的軟體產品,除非供應商完成合規流程。」至於向受影響者提供的兩年免費信用和身份監控服務,毋須支付任何費用,但受影響人士必須於今年7月30日前註冊並激活。
市教育局發言人萊爾(Jenna Lyle)於5日發聲明表示,「正如我們一直重申,所有學生和教職員工的安全和福祉,包括他們的資料安全,是我們的絕對首要任務。事件發展令人擔憂,並進一步驗證了我們於2022年春季禁止與Illuminate的合作決定是正確的,我們的學生和學校社區應該得到更好的待遇。」
當局為受影響的學生提供兩年免費信用和身份監控服務。Anna Watts/紐約時報
