近期，紐約一個廣泛使用的在線評分和考勤系統遭到黑客攻擊，這可能是美國歷史上學生個人數據最大的一次曝光。犯罪分子于1月闖入Illuminate Education IT系統，并獲得了約820,000名現任和前任紐約市公立學校學生個人數據的數據庫的訪問權限。

Illuminate Education是一家位于加利福尼亞州的納稅人資助的軟件公司。該公司創建了流行的IO Classroom、Skedula和PupilPath平臺，紐約市教育部使用它來跟蹤成績和出勤率。本次的黑客攻擊涉及可追溯到2016-17學年的信息，教育部于上周五宣布了該事件，事件中泄露的數據包括學生的姓名、出生日期、種族、家庭語言和學生證號碼，同時還包含班級和教師的時間表以及關于學生獲得免費午餐或特殊教育服務的數據。

自2016年以來，K12 Security Information Exchange一直在跟蹤針對學校和教育平臺的網絡攻擊。該組織的全國主管Doug Levin說：“不敢想象一個學區發生了如此大規模的學生數據泄露事件。”在檢測到黑客攻擊后，Illuminate的評分和出勤平臺被關閉了數周，對城市學校造成了干擾，直到事件發生的兩個月后，Illuminate才公布了數據泄露的消息。

教育官員現在指責Illuminate歪曲其對學生數據的保護措施，以及未能加密其 IO Classroom、Skedula 和 Pupilpath 平臺。紐約市教育局局長大衛班克斯說：“我們認為Illuminate會保護好我們的信息，可實際上他們并沒有。

盡管對此Illuminate做出了回應，但紐約市市長埃里克·亞當斯 指責 Illuminate “更關心保護自己而不是保護我們的學生”。他和班克斯已要求紐約州教育部和其他機構調查此事件以及 Illuminate 對州法律的遵守情況。

參考來源：https://www.infosecurity-magazine.com/news/personal-data-of-820k-nyc-students/