黑客在勒索軟件攻擊中獲取了1.6萬名亞利桑那州教師的社會安全號碼 - 彭博社

一位老師坐在亞利桑那州圖森市約翰·B·賴特小學的辦公桌前。

攝影師：切尼·奧爾/彭博社亞利桑那州圖森市的教室在一月份遭到勒索軟件的破壞，導致計算機系統被鎖定，迫使教師重新調整教學計劃。南亞利桑那州最大的學區的官員們試圖向學生和教職員工保證，儘管遭受了網絡攻擊，但敏感數據並未被盜。

但彭博社發現，網絡犯罪分子帶走了幾千兆字節的文件，其中包含數以萬計現任和前任員工的社會安全號碼和其他機密記錄。然後他們在二月份將這些信息上傳到暗網，任何人都可以通過一個易於下載的瀏覽器訪問。這些數據最近仍然可以訪問，截至4月17日。

泄露文件的例子包括一名高中生的醫療記錄；另一份詳細説明了開除幾名學生的理由。還有文件顯示與喬安·安德森達成的機密和解協議，她是一名曾在聯邦法院起訴圖森統一學區，指控歧視的前僱員。

“他們告訴我，‘沒有證據表明發生了數據泄霩’，”安德森提到最近與學區律師的一次對話，她説，律師告訴她沒有任何東西被拿走。

勒索軟件可能會造成嚴重破壞：僅在2021年，金融機構就標記了近12億美元的可能與勒索軟件有關的支付，根據美國財政部的數據。許多案例沒有被報告，因此實際數字可能更高。正如圖森統一學區的遭遇所顯示的，勒索軟件不僅代價高昂，而且可能危及私人公民的隱私 — 包括兒童 — 並破壞對學校系統的信心。

去年秋天，另一組人從洛杉磯公立學校系統，美國第二大的學校系統，竊取了幾千兆字節的數據。隨後的報告發現，泄露的數據包含數百名學生的心理健康記錄。（洛杉磯聯合學區的發言人表示，如果個人的數據被髮布在網上，他們會收到通知。）網絡犯罪分子經常使用類似的策略來攻擊企業、高淨值個人和關鍵基礎設施。

對於彭博社的書面提問，TUSD女發言人萊斯利·倫哈特表示，迄今為止的調查顯示，數萬名員工的社會安全號碼並沒有被獲取，也沒有人可以在暗網上查看這些信息。“沒有丟失任何教學時間，”她説。“學校在整個事件中保持開放。系統已安全恢復和恢復正常。”

總務長加布裏埃爾·特魯希略在2023年2月2日的視頻消息中談到了勒索軟件攻擊。TUSD通過YouTube倫哈特表示，TUSD的高級領導人員無法接受彭博社的採訪，包括據她説正在休假的總務長加布裏埃爾·特魯希略。

到了三月底，彭博社開始聯繫受侵害的人員後，特魯希略在一封員工郵件中表示，未指明的“涉及機密和敏感性質的員工信息”被訪問，但沒有社會安全號碼。彭博社在暗網上發現了超過16,000個與現任和前任員工相關的號碼和出生日期。

另一份泄露的文件包括有關一名高中學生糖尿病診斷和胰島素注射指導的“機密記錄”。彭博社未透露該學生的父母對尋求評論的詢問作出回應。

勒索軟件是一種加密受害者計算機的惡意軟件，基本上將其脱離所有者的控制。攻擊者隨後要求支付贖金以解鎖數據。除了加密文件和要求贖金外，一些攻擊者還竊取私人數據並威脅發佈數據，如果不滿足他們的要求。像臭名昭著的Conti團伙這樣的勒索軟件組織已經全球範圍內影響了關鍵基礎設施，包括2021年的愛爾蘭公共衞生系統。Lenhart表示TUSD沒有與攻擊者接觸或支付贖金。

從TUSD僱員的歧視投訴後與該地區達成的和解協議摘錄。彭博社貝雷特·卡洛（Brett Callow）是網絡安全公司 Emsisoft跟蹤勒索軟件攻擊的人，他表示學校系統面臨着不同尋常的挑戰。財政拮据的學區經常面臨着優先考慮學生資源、教師薪酬和破舊建築而不是網絡安全支出的壓力，他説。“攻擊成本低，”Callow説。“他們不需要大額或頻繁的賠償來獲得投資回報。”

圖森攻擊大約始於1月30日左右，採訪和文件顯示。一天早晨，工作人員收到了攻擊者發送到整個地區打印機的Royal勒索軟件的消息。作者寫道：“如果你正在閲讀這篇文章，這意味着你的系統受到了Royal勒索軟件的攻擊。” 從一開始，該組織就表示TUSD的一些數據可能會被上傳到網上供任何人查看。

接下來的兩週，教師和工作人員不得不即興制定教學計劃，並想出臨時的考勤方式，文件和採訪顯示。由於該地區的互聯網連接被切斷，電子成績冊、電子郵件訪問和其他關鍵服務都無法使用。 “很難讓事情有條不紊，”已經教授音樂20年的Rueben Loya説。他説：“我們甚至沒有孩子父母的電話號碼，”這增加了在放學時允許誰接孩子的混亂。

攻擊發生幾天後，文件顯示，員工被指示安裝由 CrowdStrike Holdings Inc.製造的惡意軟件掃描程序，這是一家應對網絡攻擊的主要公司。該地區發言人Lenhart表示，網絡安全公司PacketWatch代表亞利桑那風險保留信託保險計劃進行了初步調查。

電子郵件旨在給學區官員施加壓力，要求支付贖金。該電子郵件提到了包含TUSD網絡上授予和財務數據的文件。彭博社其他地區的工作人員對他們認為的缺乏答案感到沮喪。“對混亂和缺乏透明度不太滿意，”一名員工在一封被彭博社看到的電子郵件中回覆同事們。根據該公司的勒斯卡（Allan Liska）稱，一些州要求學區遭受網絡攻擊時必須向州官員披露；而其他州則沒有報告要求。 Recorded Future Inc。

然而，校園計算機故障只是TUSD員工頭疼的開始。幾位接受彭博社採訪的教師表示，他們對自己的個人數據被隨意獲取感到擔憂。他們説，官員們最初提供了信用監控資源，但對數據泄露的程度提供了很少的細節。

負責Royal勒索軟件的網絡犯罪分子向TUSD領導層施加了壓力。在一封被彭博社看到的電子郵件中，黑客聲稱已向140個TUSD電子郵件地址發送了一條消息，其中包含了半打護照的副本和他們聲稱竊取的幾千兆字節數據的證據：“想象一下如果這些數據泄露到互聯網上會發生什麼。”（Royal攻擊也曾瞄準製造業和醫療保健領域。）

一名學生的開除建議。彭博社“貴公司將在一月底的攻擊後面臨聲譽和財務損失，以及監管和法律處罰，”攻擊者在攻擊後不久嘲諷道。“快點！”

教育部門是最不可能支付贖金的部門之一，Liska説。他説，今年已經有近兩打學校系統遭受了攻擊**，**自2020年初以來，已有200多個學區受到了攻擊。“勒索軟件團體仍然對這些目標感興趣，”他説。

勒索軟件的泛濫已經變得如此令人擔憂，以至於拜登政府去年秋天在華盛頓舉辦了一個峯會，邀請了近三十個國家參加。一位高級政府官員去年底表示，這些入侵的速度和複雜程度增長得比美國政府打擊它們的能力更快。

“我希望在發生這種情況時能有更多關於可能出現問題的可能性的公開討論，”圖森教育協會（一家教師工會）主席瑪格麗特·錢尼在一次採訪中説。“你不想毫無必要地讓人們恐慌。但我是一個成年人，我需要做出自己的決定。”