Οι επιθέσεις ransomware είναι μια από τις πιο μεγάλες απειλές της εποχής μας και συχνά συνδυάζονται με κλοπή και διαρροή των δεδομένων των θυμάτων. Ένας από τους στόχους των hackers (κυρίως ransomware συμμοριών) τα τελευταία χρόνια είναι και τα σχολεία, το οποίο σημαίνει ότι δεδομένα παιδιών έχουν εκτεθεί στο διαδίκτυο.
Το NBC News συνέλεξε και ανέλυσε σχολικά αρχεία από sites στο dark web και διαπίστωσε ότι είναι γεμάτα με προσωπικά δεδομένα παιδιών. Το 2021, συμμορίες ransomware δημοσίευσαν δεδομένα από περισσότερα από 1.200 αμερικανικά σχολεία K-12. Ορισμένα σχολεία που ενημερώθηκαν για τις διαρροές φαίνεται να μην γνώριζαν το πρόβλημα.
Επιπλέον, ακόμη και όταν τα σχολεία ξεπερνούν μια επίθεση, οι γονείς έχουν ελάχιστη βοήθεια όταν εκτίθενται τα δεδομένα των παιδιών τους.
Ορισμένα από τα δεδομένα είναι προσωπικά, όπως ιατρικές καταστάσεις ή οικογενειακές οικονομικές καταστάσεις. Άλλες πληροφορίες, περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης ή γενέθλια, τα οποία δίνουν λεπτομέρειες σχετικά με την ταυτότητα των παιδιών.
Τα συστήματα των δημόσιων σχολείων είναι λιγότερο εξοπλισμένα (σε σχέση με τα ιδιωτικά) για την προστασία των δεδομένων των μαθητών από εγκληματίες του κυβερνοχώρου, δήλωσε ο Doug Levin, διευθυντής του K12 Security Exchange Exchange, ενός μη κερδοσκοπικού οργανισμού που βοηθά τα σχολεία να προστατευτούν από κυβερνοεπιθέσεις.
“Νομίζω ότι είναι πολύ σαφές αυτή τη στιγμή ότι δεν δίνουν αρκετή προσοχή στο πώς να διασφαλίσουν ότι τα δεδομένα είναι προστατευμένα και νομίζω ότι όλοι είναι μπερδεμένοι και δεν ξέρουν τι πρέπει να κάνουν όταν εκτεθούν“, δήλωσε ο Levin. “Και δεν νομίζω ότι οι άνθρωποι καταλαβαίνουν ακριβώς πόσο μεγάλη είναι αυτή η έκθεση“.
Για περισσότερο από μια δεκαετία, τα σχολεία αποτελούν βασικό στόχο για hackers που εκθέτουν δεδομένα ανθρώπων, τα οποία συνήθως συγκεντρώνουν και πωλούν σε κλέφτες στοιχείων ταυτότητας. Αλλά τα σχολεία δεν είχαν ποτέ μια σαφή νομική εντολή για το τι πρέπει να κάνουν αφού οι hackers κλέψουν τα δεδομένα των παιδιών.
Η πρόσφατη αύξηση του ransomware έχει κλιμακώσει το πρόβλημα, καθώς οι συμμορίες δημοσιεύουν αρχεία σε sites διαρροής, εάν τα θύματα δεν πληρώνουν τα λύτρα. Ο μέσος άνθρωπος μπορεί να μην ξέρει πού να βρει αυτά τα sites, αλλά άλλοι εγκληματίες μπορούν εύκολα να τα βρουν και να αγοράσουν ή να αποκτήσουν δωρεάν πρόσβαση σε κλεμμένα δεδομένα.
Τον Φεβρουάριο, μόλις λίγους μήνες αφότου το Toledo Public Schools στο Οχάιο χτυπήθηκε από ransomware συμμορία που δημοσίευσε δεδομένα παιδιών, ένας γονέας είπε ότι κάποιος προσπάθησε να πάρει δάνειο χρησιμοποιώντας το όνομα του παιδιού του.
Τον Δεκέμβριο, hackers παραβίασαν το Weslaco Independent School District κοντά στα νότια σύνορα του Τέξας. Το προσωπικό ειδοποίησε άμεσα 48.000 γονείς και κηδεμόνες για την παραβίαση. Ακολούθησαν τη συμβουλή του FBI να μην πληρώσουν τα λύτρα που ζητήθηκαν. Ως απάντηση, οι hackers δημοσίευσαν κλεμμένα δεδομένα παιδιών. Ένα από τα αρχεία που βρίσκεται ακόμα στο διαδίκτυο, είναι ένα υπολογιστικό φύλλο Excel με τίτλο “Βασικές πληροφορίες για τους μαθητές” που έχει μια λίστα με περίπου 16.000 μαθητές. Η λίστα εμφανίζει τα ονόματα των παιδιών και περιλαμβάνει καταχωρήσεις για την ημερομηνία γέννησης, τη φυλή, τον αριθμό κοινωνικής ασφάλισης και το φύλο, ενώ αναφέρει επίσης αν είναι μετανάστες, άστεγοι, αν έχουν οικονομικά προβλήματα και εάν έχουν χαρακτηριστεί ως δυνητικά δυσλεξικοί.
Εννέα μήνες αργότερα, η σχολική κοινότητα ασχολείται με το θέμα.
Ο αντίκτυπος δεν είναι πάντα σαφής
Οι ransomware συμμορίες κλέβουν δεδομένα από τα σχολεία και τα δημοσιεύουν, αλλά μπορεί να μην ενημερώνουν ακριβώς για το τι έχουν κλέψει και πόσα δεδομένα έχουν κρατήσει για τους ίδιους. Αυτό σημαίνει ότι τα σχολεία δεν ξέρουν ακριβώς ποια δεδομένα έχουν κλαπεί και εκτεθεί.
Το πρόβλημα γίνεται ακόμα μεγαλύτερο, καθώς πολλά σχολεία δεν γνωρίζουν όλες τις πληροφορίες που είναι αποθηκευμένες σε όλους τους υπολογιστές τους και ως εκ τούτου μπορεί να μην αντιλαμβάνονται την έκταση της διαρροής. Υπάρχουν περιστατικά στα οποία είχε ειπωθεί ότι δεν είχαν εκτεθεί συγκεκριμένα δεδομένα. Ωστόσο, βρέθηκαν στο διαδίκτυο αρχεία με αυτά τα δεδομένα.
Μερικές φορές τα δεδομένα των παιδιών εκτίθενται επειδή τα κατέχουν τρίτοι. Τον Μάιο, hackers δημοσίευσαν αρχεία που είχαν κλέψει από το Apollo Career Center, ένα επαγγελματικό σχολείο του Οχάιο που συνεργάζεται με 11 περιφερειακά λύκεια. Αυτά τα αρχεία περιλαμβάνουν εκατοντάδες δεδομένα, τα οποία βρίσκονται ακόμα στο διαδίκτυο.
Τα σχολεία τείνουν να αποθηκεύουν πολλά δεδομένα για τα παιδιά (ιατρικό ιστορικό, οικογενειακή κατάσταση κ.ά.) και συχνά δεν έχουν τα χρήματα να πληρώσουν για ειδικούς ή υπηρεσίες ασφάλειας στον κυβερνοχώρο, ώστε να διασφαλίσουν ότι αυτά τα δεδομένα θα παραμείνουν προστατευμένα.
Οι γονείς μαθαίνουν γρήγορα ότι οι ίδιοι πρέπει να αντιμετωπίσουν αυτά τα προβλήματα. Τα σχολεία μπορεί να μην γνωρίζουν καν εάν έχουν παραβιαστεί ή εάν οι hackers έχουν δημοσιεύσει πληροφορίες μαθητών στο dark web. Και η νομοθεσία δεν δίνει σαφείς οδηγίες για το τι πρέπει να γίνει, αν παραβιαστεί κάποιο σχολείο.
Αυτό σημαίνει ότι τόσο οι γονείς όσο και τα παιδιά δεν μπορούν να κάνουν πολλά για να προστατευτούν από την πιθανότητα οι εγκληματίες να έχουν πρόσβαση στα προσωπικά τους στοιχεία.
Πηγή: NBC News
