摘要：CBC News从多伦多教育局(TDSB)获悉，由于数据软件PowerSchool后端账户遭到入侵，近150万份学生信息泄露，影响的时间段从1985年横跨至2024年。

CBC News从多伦多教育局(TDSB)获悉，由于数据软件PowerSchool后端账户遭到入侵，近150万份学生信息泄露，影响的时间段从1985年横跨至2024年。

PowerSchool是K-12学校用于管理学生信息的外部软件供应商，在北美广泛应用。

此次数据泄露事件，发生在去年12月22日至28日之间。目前，PowerSchool在其官方网站表示，一些“个人身份信息”，例如社会安全号码和医疗信息“涉及”此次泄露事件，并正在“紧急”识别受影响的用户。

图片来源：powerschool.com

谁受到了影响？

除了多伦多学区是此次泄露事件的重灾区外，加拿大安省其他学区、阿省、曼省、萨省、纽芬兰、新斯科舍省和爱德华王子岛等地的学区也在使用 PowerSchool，主要用于管理学生个人信息（部分包括医疗信息）、成绩和其他学习细节。一些学校甚至将其作为与学生家长沟通的平台。

CBC News从纽芬兰省教育部部长KristaLynn Howell处了解到，该省1995年以后的学生信息受到影响。安省的Peel教育局则披露1965年以来的学生信息被泄露。

哪些数据被泄露了？

姓名、出生日期、家庭住址和电话号码是学生登记的基本数据。

据教育局透露，可能被泄露的还包括学生证号、医疗信息、紧急联系人、纪律处分记录和性别。此外，TDSB告诉Global News，受影响的还有教师、校长、教职员工、教育助理、辅导员等课堂支持人员，他们的社保号码也都录入过系统。

学生如何获悉该事件的最新消息？

TDSB发言人Ryan Bird在采访中透露，为了方便应对一些事后的请求，TDSB在PowerSchool系统中保存了过去学生的信息。此次泄露事件可能涉及了1985年9月至2024年12月期间约149万多名学生的数据。

事发后，教育局给受影响的家庭发送了电邮，并在官网发布最新消息，家长和学生可登录官网资源中心查看。

“PowerSchool向我们保证，被复制的信息已被删除，据我们所知，这些信息并未出现在任何网路上。”Bird说，PowerSchool承诺提供信用监控和身份保护措施，目前，教育局还在等待最终操作细节。

为什么黑客将目光瞄准学生？

科技分析师Carmi Levy 认为，由于聘请网络安全专家费用高昂，一些公共场域的信息安全是十分脆弱的，诸如医院、学校，这就给黑客提供了可乘之机。

更为重要的是，掌握了学生的个人信息就可以轻松策划网络诈骗。

Tony Anscombe在网络安全领域工作了30多年，他告诉CBC News，只要掌握学生姓名、年级长电子邮件等基本信息，就可以炮制一封催促家长为三年级的孩子支付游学费用的电邮，并附上付款链接。

此外，将学生姓名、家庭住址和伪造的生日结合起来，就可以申请身份证件、信用卡等。而此次泄露信息中还包括了医疗信息和学习记录，这些信息通过拼凑，很可能用来窃取身份或勒索当事人钱财。

家长如何应对？

事已至此，学校和家长必须采取积极的应对。Anscombe向家长提出了以下6点建议。

1. 告诉孩子发生了什么，提醒他们留意学校发送的电邮是否有异常，比如诱导诈骗。

2. 更改学校账户的密码。原先的密码恢复提示问题及答案可能已经被泄露，比如“母亲娘家姓氏”，也请一并更改。

3. 名下所有账户启用双重身份验证登录。

4. 为孩子注册信用账户并锁定信用记录，这样任何人都无法在孩子名下开设信用账户或申请贷款，除非家长手动解锁。

5. 对任何电邮中的优惠链接保持警惕，先通过官网等权威渠道确认真实后再点击链接。

6. 填写学校表格时，认真思考是否每一空白都必须填写，大胆向校方发问填写的意图和用处。

Global News 报道称，此次泄露事件已引起了加拿大隐私专员办公室(OPC)的关注。专员Philippe Dufresne透露他的团队已根据加拿大隐私法规要求PowerSchool提供关于此次泄密的报告和应对信息。

PowerSchool也承诺将为所有涉事学生提供两年的免费身份保护服务和两年的免费信用监控服务。

Anscombe认为，学校应当建立正确的流程和网络安全措施，学区的IT部门应当行动起来，建立网络安全护城河，毕竟“黑客通常攻击最容易得手的目标”。

来源：温房网