認識那些確保學校網絡攻擊隱藏的僱傭兵

自從五年前疫情打亂全國教育以來，學校面臨了一波又一波的網絡攻擊。然而，《The 74》的調查顯示，全國各地的學區領導人採取了一種普遍的遮掩模式，讓真正的受害者蒙在鼓裡。

一項深入分析記錄了過去五年超過300起學校網絡攻擊事件，揭示了幾乎每個州的學校領導人如何反復向學生、家長和教職員工提供虛假的安全保證。同時，顧問和律師引導“特權調查”，將關鍵細節隱藏於公眾視野之外。

在超過二十多起案件中，教育工作者被迫在幾個月後，甚至有些情況下超過一年後，收回對社區的承諾，承認包括特殊教育安排、心理健康挑戰和學生性行為不當報告等敏感信息已經洩露。許多學校官員提供了含糊的故事情節，而另一些則拒絕承認有關網絡攻擊及其對個人的影響的基本細節，即使黑客已經將學生和教師的信息公開。

學校信息傳遞的空洞性並非巧合。

這是因為在學校遭受網絡攻擊後，最早被通知的人通常不是公眾或警察。學區事件響應計劃首先通知的是保險公司及其隱私律師團隊。他們接管了響應工作，重點在於限制學校因家長或員工不滿而遭受的訴訟風險。

這些律師通常由少數幾家法律公司聘用——一位法律教授稱其為“洩露工廠”，因為他們的案件量巨大——代表學校聘請法證網絡分析師、危機溝通者和贖金談判專家，將討論置於律師-客戶特權的保護之下。數據隱私合規是這些專業律師的一個增長行業，他們努力控制敘述。

結果是：學生、家庭和學區員工的個人數據被公開——從財務和醫療信息到年輕人生活中的創傷事件——卻對其暴露和身份盜竊、欺詐及其他形式的網絡剝削風險一無所知。如果能更早被告知，他們本可以採取措施保護自己。

同樣，當學校官員在閉門會議中悄悄同意支付網絡團伙的贖金要求以恢復文件和解鎖計算機系統時，公眾通常也不知情。研究表明，事件激增至少部分是由於保險公司願意支付贖金。黑客自己表示，當目標擁有網絡保險時，贖金支付“幾乎是有保證的”。

根據專注於消費者的網絡安全網站Comparitech的數據，2023年美國K-12學校和大學遭遇了121起勒索軟件攻擊。網絡安全公司Malwarebytes的分析報告顯示，2023年全球教育部門遭遇了265起勒索軟件攻擊——同比增長70%，使其成為“教育史上最糟糕的勒索軟件年”。

明尼蘇達大學的法律教授丹尼爾·施瓦茨（Daniel Schwarcz）在2023年為《哈佛法律與技術雜誌》撰寫了一份報告，批評學校網絡攻擊一旦律師——通常被稱為洩露教練——到場後所籠罩的保密性和雙重語言。

“在誤導和技術準確之間有一條微妙的界限，”施瓦茨告訴《The 74》。“洩露教練試圖推到那條線上——有時他們會越過它。”

當洩露不被提及

《The 74》對決定學區何時、如何揭露網絡攻擊的幕後決策進行的調查，基於從二十多個學區獲得的數千份公共記錄請求文件和學校支出數據，這些數據鏈接到法律公司、勒索談判者和其他被聘用來管理學區響應的顧問。它還包括對數百萬被盜學區記錄上傳到網絡團伙洩露網站的分析。

一些學生最敏感的信息無限期地存在於暗網上，這是互聯網的一個隱藏部分，通常用於匿名通信和非法活動。其他個人數據則可以通過簡單的谷歌搜索在線找到，即使學區否認其記錄被盜，網絡小偷也在炫耀他們的最新戰果。