520万加人信息在裸奔 当局已向黑客支付高额赎金

2024年圣诞假期，在一片欢乐祥和的节日气氛中，数百万加拿大学生与家庭的信息，却在寂静的网络空间中被悄然盗取，甚至是面临裸奔……

为了平息风波，加拿大相关教育当局和涉事公司被迫向黑客支付了高昂的赎金。

然而，仅仅数月之后，冰冷的勒索信再次投递到了各大教育局的邮箱，这是一个噩梦的循环，也是一场本可避免的灾难。

近日，安大略省信息和隐私委员会(Information and Privacy Commissioner, IPC)公布了一份关于从去年到今年这场席卷全国教育系统数据泄露事件(Data Breach)的最终调查报告。

报告结论一针见血，大多伦多地区（GTA）乃至全国范围内受影响的教育局（School Boards），并未采取“合理措施”来保护他们收集的海量个人信息，也缺乏对第三方服务商的“必要监督”。

此次事件的震中是 PowerSchool，一个在全球教育领域被广泛使用的云管理平台。它承载着学生注册、出勤、成绩乃至教职工数据管理等核心功能，是学校运营的“数字大脑”。

2024年12月22日至28日，这个“数字大脑”被攻破了。黑客通过一个曾为 PowerSchool 提供技术支持的前分包商的受损登录凭证(Compromised Credentials)，轻松进入了系统门户 PowerSource，并从中下载了包含大量个人信息的“学生和教职工表格”。

起初，这看起来像是一场典型的网络勒索。PowerSchool 公司确认，他们为此支付了赎金，以期阻止被盗数据的公开。

然而，暂时的妥协并未换来长久的安全。2025年5月4日，黑客的二次勒索要求如影随形般地送达，包括多伦多教育局（TDSB）在内的多个机构再度成为目标。

为何支付赎金仍无法摆脱威胁?安省信息和隐私委员会的调查揭示了更为深层的溃败。报告显示，在事件发生时，甚至有教育局根本没有数据泄露应急响应计划。

许多教育局在与 PowerSchool 的合同中，未能包含关键的隐私和安全条款，仿佛将数据这座“宝库”的钥匙交出后，便高枕无忧。

除了外部攻击，内部管理的混乱同样触目惊心。隐私专员 Patricia Kosseim 在调查报告中严厉指出：“在一些情况下，机构过度收集敏感个人信息，并且由于没有实施适当的保留计划，未能定期清理，导致个人信息保留时间远远超过必要时限。”

这意味着，一些早已毕业多年、甚至上世纪八九十年代的学生信息，依然静静地躺在数据库里。这次泄露可能波及的信息最早可追溯到1985年9月。

这种“只进不出”的数据管理方式，造成了一个荒谬而危险的现实，一次网络攻击，却能撬开跨越近四十年的历史信息。

正如 Kosseim 专员所警告的，“这导致海量个人数据暴露在攻击者面前，放大了对受影响个体造成重大伤害的真实风险。”

这场危机的规模是空前的。根据 IPC 的统计，仅安大略省就有约386万居民受到影响，而全加拿大范围内，这一数字高达约520万人。

安大略省有多达20个教育局以及省教育部自身都报告了与此事件相关的网络安全事件，远至阿尔伯塔省的学校也未能幸免。

背后黑手是一名20岁的美国马萨诸塞州年轻人，他因对 PowerSchool 等两家美国公司进行网络勒索而被判刑。

IPC 指出，这名黑客曾索要高达285万美元的比特币作为赎金，威胁否则将泄露超过6000万学生和1000万教师的信息。

被置于风险之中的信息包括但不限于：

健康卡号码(Health Card Numbers)

家庭地址(Home Addresses)

社会保险号(Social Insurance Numbers, SIN)

学生和教职工的姓名、联系方式等个人身份信息(Personally Identifiable Information, PII)

部分有限的医疗和成绩信息

IPC的报告不仅指出了问题，更为一整套系统的修复划出了“硬指标”：

限期整改：所有涉事教育局必须在6个月内向IPC证明，它们已全面落实报告中的所有建议。

合同审查与重谈：必须立即审查与 PowerSchool 等第三方服务商的协议，若无足够的数据保护条款，必须重新谈判。

数据最小化：立即停止收集不必要的个人信息，并建立定期的数据清理机制。

加强访问控制：严格限制通过 PowerSource 对敏感信息的访问权限。

协同作战：Kosseim 专员呼吁所有教育局放弃“各自为战”，在签订合同时协同合作，共享网络安全专业知识，并要求安大略省政府为教育技术 的使用提供更清晰的指导与资源，以提升整个教育部门的网络弹性。

“虽然公共机构可以将服务外包给第三方供应商，但它们无法将保护个人信息的责任外包出去。” 这句话出现在IPC的多次声明中，成为了本次事件最核心的警示。

在数字化教育不可逆转的今天，学校越来越多地依赖科技公司来提升效率。然而，本次事件残酷地揭示，购买服务，不等于购买到了安全;使用云端，不意味着风险也能一同“上云”。

公共机构，尤其是承载着社会未来希望的教育系统，必须成为数据安全的最终责任人，对委托给第三方的每一字节信息保持最高级别的警惕和监管。

这场泄露，不仅暴露了技术的漏洞，更暴露了数据伦理与治理的盲区。

对于数百万受影响的学生和家长而言，生活仍需继续。但这场持续了近半年、支付赎金后仍被二次勒索的噩梦，关乎每个人的隐私与尊严。

给家长们的提示

虽然 PowerSchool 表示攻击者访问的数据已被删除，没有副本在网上传播，但作为预防措施，家长可以：

留意孩子和自己的个人信息是否被异常使用

注意可疑的电子邮件或信息

定期检查银行和信用卡账单

考虑使用信用监控服务