GTA学生资料遭大规模外泄，当局迫向黑客支付赎金后再遭勒索

安省隐私专员办公室的最新调查发现，受去年年底重大网络攻击波及的大多伦多地区多家教育局，未能采取足够措施保护其掌握的个人资料，也缺乏有效监督机制来确保教育科技公司PowerSchool履行隐私与安全义务。教育局在被迫向黑客支付赎金后不到一年，再次被勒索。

据本地英文媒体CP24报道：安省隐私专员的调查指出，2024年12月22日至28日期间，多伦多教育局（TDSB）遭遇严重数据泄露事件。用于存储学生与教职工信息的云端系统 PowerSchool 遭黑客入侵，一名“威胁行为者”勒索赎金。

据悉，PowerSchool系统用于学生注册、出勤管理、教职工数据以及省级合规报告，是全省学校运行的核心后台。

除了TDSB之外，杜兰、皮尔和约克等教育局也受到影响。

尽管PowerSchool声称已支付赎金以阻止被盗资料外泄，但包括 TDSB 在内的多家教育局在今年5月4日再次收到勒索要求，显示部分数据可能仍然遭到掌控。

TDSB 先前警告，自1985年9月起的海量学生与教职工信息——从医保卡号到家庭住址——可能已遭泄露。据信息与隐私专员办公室（IPC）估计，该事件影响约386万名安省居民，全国受影响人数达520万。

安省20个教育局及省教育部均向 IPC 报告了相关网络事件。阿省部分学校同样受害，促使两省监管机构联合展开调查。

在最新报告中，安省信息与隐私专员科塞姆（Patricia Kosseim）坦言，各教育局未采取“合理措施”防止未经授权的访问，也未对外包服务进行必要监督。“机构可以外包职责，但不能外包责任。”

报告指出，一些教育局缺乏完善的数据泄露应对计划，与PowerSchool的合约中也未纳入关键隐私与安全条款，且缺乏持续监督机制。

报告进一步批评部分教育局长期“过度收集”个人敏感信息，并缺乏留存期限规范，导致大量个人资料存放时间远超所需，使风险进一步扩大。“这让海量敏感信息暴露在威胁行为者面前，显著增加受害者实际受损的风险。”科塞姆表示。

TDSB在回应中强调高度重视信息保护，并表示已在事发后采取新的安全措施，将与 PowerSchool合作落实建议。发言人伯德（Ryan Bird）称，教育局正加强相关防护和监督。

调查显示，攻击者利用PowerSource平台上的泄露凭证入侵系统，该账号属于一名曾为 PowerSchool提供技术支持的前分包商。黑客利用该凭证下载学生与教师资料，且隐私专员担心，这些凭证在2024年8月至12月期间多次被使用。

值得一提的是，相关案件也曾出现在美国。马萨诸塞州一名20岁男子因参与 PowerSchool 勒索案，被判处四年监禁。据监管机构称，他曾索要285万美元比特币，以换取不公开超过6000万名学生及1000万名教师的数据。

隐私专员的报告提出多项建议，包括限制通过PowerSource访问敏感学生资料、全面审查 PowerSchool 安全机制、重新评估合同是否包含必需的隐私保障条款，并立即停止收集如社会保险号和医保卡号等非必要信息。教育局还需检视留存时间表，并更新数据泄露应对流程。

所有教育局必须在六个月内向信息与隐私专员办公室（IPC）证明已全面落实建议。

隐私专员科塞姆最后强调，应以“高度协调、全行业参与”的方式提升教育系统的网络韧性，并呼吁省政府提供更明确的教育科技使用指引，以及相关培训及资源，以统一标准并提升整体安全水平。