افشا اطلاعات شخصی افراد در حمله سایبری به پاور اسکول

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این حادثه نشان می‌دهد که هکرها چگونه می‌توانند به راحتی حجم زیادی از داده‌های شخصی و منحصربه‌فرد را به دست آورند.

پاور اسکول (PowerSchool)، یک شرکت نرم‌افزار آموزشی، اعلام کرد که حدود ۶,۵۰۰ مشتری از میان بیش از ۱۸ هزار مشتری این شرکت تحت تأثیر این حمله قرار گرفته‌اند.

اگرچه این شرکت تعداد افراد آسیب‌دیده را مشخص نکرده است، اما هکری که مسئول این حمله ادعا کرده است که به داده‌های مربوط به ۶۲.۴ میلیون دانش‌آموز و ۹.۵ میلیون معلم دسترسی پیدا کرده است.

بسیاری از نواحی آموزشی آسیب‌دیده جزئیات محدودی درباره اطلاعات فاش‌شده ارائه کرده‌اند.

بااین‌حال، مصاحبه با والدین و مدیران مدارس، همراه با اطلاعیه‌هایی که دو ناحیه آموزشی برای والدین ارسال کرده‌اند، نشان می‌دهد که دسته‌های بسیار حساسی از داده‌ها افشا شده‌اند.

پاور اسکول اعلام کرده است که در برخی موارد، یک بخش هشدار پزشکی که شامل اطلاعات سلامت دانش‌آموزان بود و والدین مایل بودند مدارس از آن مطلع باشند، در این حمله به خطر افتاده است.

این شرکت، آلرژی غذایی را به عنوان نمونه‌ای از این اطلاعات ذکر کرده است.

بااین‌حال، یکی از والدین عنوان کرده است که در مورد دختر او، اختلال اضطراب و این‌که او در حال دریافت جلسات درمانی بوده، در این داده‌ها ذکر شده است.

در ایمیلی که به والدین منطقه آموزشی ویکفیلد، ماساچوست ارسال شد، اعلام شده است که هشدارهای مربوط به حضانت؛ از جمله اطلاعاتی مانند توافق‌های حضانت، احکام محدودکننده و سایر داده‌های قانونی، برای ۳۱ دانش‌آموز فعلی و سابق فاش شده است.

این ایمیل همچنین بیان کرده است که اطلاعات مربوط به برنامه‌های آموزش ویژه برای ۷۰۸ دانش‌آموز فعلی و سابق افشا شده و هشدارهای پزشکی برای ۱,۳۸۴ دانش‌آموز فعلی و سابق در دسترس قرار گرفته است.

مقامات آموزشی ویکفیلد این سه دسته از داده‌ها را اطلاعات حساسی توصیف کردند که تحت حفاظت قوانین ایالتی و فدرال مربوط به سوابق دانش‌آموزان قرار دارند.

در تورنتو، اطلاعات دانش‌آموزانی که هشدارهای پزشکی، وضعیت آموزش ویژه و یادداشت‌های انضباطی از سال ۲۰۱۷ در پرونده‌هایشان ثبت شده بود، فاش شد.

مسئولان این منطقه آموزشی والدین را از این موضوع مطلع کردند.

هیئت مدارس ناحیه‌ای تورنتو، بزرگ‌ترین ناحیه آموزشی کانادا و یکی از بزرگ‌ترین‌ها در آمریکای شمالی است که سالانه به حدود ۲۳۹ هزار دانش‌آموز در نزدیک به ۶۰۰ مدرسه خدمات ارائه می‌دهد.

هنگامی که از پاور اسکول پرسیده شد که چرا وضعیت آموزش ویژه، توافق‌های حضانت و یادداشت‌های انضباطی را در اطلاعیه اولیه خود درباره نوع اطلاعات افشاشده ذکر نکرده است، سخنگوی این شرکت توضیح داد که این بخش‌های داده‌ها مستقیماً توسط پاور اسکول ایجاد نشده‌اند و در واقع، افزودنی‌های سفارش سازی‌شده‌ای بوده‌اند که توسط مدارس اضافه شده‌اند.

آدام لارسن، معاون سرپرست یک ناحیه آموزشی در ایالت ایلینوی که همچنین به عنوان مشاور داده برای مدارس فعالیت می‌کند، اظهار کرد که برخی از نواحی آموزشی تحت نظر او، اطلاعات حساس مربوط به سلامت روان دانش‌آموزان و آموزش ویژه را از دست داده‌اند.

او توضیح داد:

مواردی که هکرها به آن‌ها دست پیدا کردند، شامل وضعیت‌های خاصی بود؛ مثلاً اینکه یک دانش‌آموز دارای برنامه آموزشی ویژه (IEP یا 504) است، اختلال اضطراب دارد یا یک حکم حفاظت قانونی برای او صادر شده است.

لارسن افزود که ناحیه آموزشی خودش تحت تأثیر این حمله قرار نگرفته است.

وی ادامه داد:

این اطلاعات معمولاً در سطح کلی هستند، مانند این‌که ‘همه بدانید که این دانش‌آموز دچار اختلال اضطراب است، بنابراین باید انتظار داشته باشید که ممکن است دچار حملات پانیک شود.’

لارسن بیان کرد که او در حال کمک به نواحی آموزشی برای بررسی سیستم‌های آن‌ها پس از این حمله است و برای نواحی که اطلاعات حساس دانش‌آموزانشان درز کرده است، نارضایتی زیادی وجود دارد، زیرا آن‌ها احساس می‌کنند که به عنوان مسئولان این داده‌ها، وظیفه دارند از آن‌ها محافظت کنند و هرگز انتظار نداشتند که چنین تهدیدی متوجه آن‌ها شود.