The 74的一项调查显示,在该市学区去年成为大规模勒索软件攻击的受害者后,数百名(可能还有数千名)前洛杉矶学生的详细且高度敏感的心理健康记录被公布在暗网上。
讲俄语的勒索软件团伙Vice Society在“暗网”泄密网站上发布了学生心理评估报告,提供了关于接受特殊教育服务的学生的惊人程度的个人身份信息,包括他们的详细病史、学业成绩和纪律处分记录。
但人们可能不知道他们的敏感信息很容易在暗网上很容易获得,因为洛杉矶联合学区没有提醒他们。学区尚未通知学生的家庭记录已被泄露,这些记录详细说明了家庭的移民身份、潜在的虐待儿童和涉及学生的性行为不端指控。一位学区发言人证实,而且领导们甚至没有承认这些记录的存在。相比之下,该地区上个月公开承认地区承包商的敏感信息已被泄露。
网络安全专家说,学生的心理记录被大量曝光,以及该区缺乏透明度,都凸显了现有联邦隐私法的漏洞。有关医院和健康保险公司维护的敏感健康记录的规则受严格的数据泄露通知政策保护,与适用于学校保存的教育记录的规则不同——即使文件本身几乎相同。根据现行的联邦隐私规则,当学生的个人信息(包括医疗记录)暴露时,学区无需通知公众。
学校网络安全专家、K12安全信息交流中心全国主任道格·莱文(Doug Levin)说,但将数据泄露的程度被隐瞒起来,与学校改善儿童生活的使命背道而驰,反而使他们面临更大的伤害风险。
莱文对The 74说:“被你托付了处理如此敏感信息的组织要么一直拖延、甚至进行隐瞒个人泄露非常敏感信息的事实,这令人深感不安。”“对于一个学校系统来说,等待6个月、1年或更长的时间才通知某人他们的信息在暗网中被曝光并可能被滥用,这一年来这些人无法采取措施保护自己。”
在1月份的一份报告中,联邦网络安全和基础设施安全局警告说,学区正成为网络团伙的目标,“可能对学生、他们的家人、教师和管理人员造成灾难性影响。”在新冠疫情流行期间,由于学校越来越依赖技术,威胁变得特别严重。 据联邦机构称,公开披露的影响学校的网络安全事件的数量已从2018年的400起增长到2021年的1300多起。
洛杉矶学校负责人阿尔贝托·卡瓦略(Alberto Carvalho)于10月初承认,在学区拒绝支付未指明的赎金要求后,网络团伙将大约500GB的被盗记录发布到暗网上,当时他试图淡化其对学生的影响。早期的新闻报道称,泄露的文件包含一些学生的心理评估,并援引“一位熟悉调查情况的执法部门消息人士的话”。卡瓦略称这一报道“绝对不正确”。
“根据我们目前所见,我们没有看到任何证据表明精神病学评估信息或健康记录已公开,”卡瓦略说,他承认黑客“触及”了该地区庞大的学生信息系统,并暴露了有限的学生记录集合,包括他们的姓名和地址。
目前,洛杉矶学区在一份声明中承认,“大约2000份”学生心理评估——包括60名在读学生的评估——已上传到暗网。
根据The 74的说法,学区正在努力决定公开的记录是否被视为“医疗信息”,并要求根据法律通知家庭。虽然一些学生的健康记录在HIPAA范围内,但心理评估不在范围内,这可能会导致违反家庭教育权利和隐私法。