紐約公校、大學連爆資安嚴重漏洞 陷史上最大數據災難

紐約市公立學校系統近日接連爆發數據安全事故，與此同時，州主計長辦公室發布的審計報告亦揭示，市教育局在追蹤校內使用的技術工具、及時上報數據洩露，以及通知受影響學生家長等方面存在嚴重漏洞。

州主計長狄拿波利(Thomas DiNapoli)發布的審計報告，涵蓋2020年3月至2025年9月期間，涉及全市約1600所學校、90萬名學生。報告指，市教育局未能建立各校應用程式的完整目錄，因此對整體環境、各應用程式所儲存的資訊類型，以及相關數據風險欠缺清晰的掌握。

審計人員審查了2023年1月至2025年2月間的141宗數據洩露事件，發現近半數未能按時向州府上報，部分個案的延誤時間更超過一年。此外，市教育局約16萬名員工中，逾四分之一未在2024年完成規定的年度數據隱私培訓。

審計報告發布約一周後，全國各地學區及大學相繼爆發大規模黑客攻擊，廣泛使用的網上教育平台Canvas遭入侵，導致多所院校系統癱瘓；紐約市公立學校、哥倫比亞大學(Columbia University)均受波及。

自稱「ShinyHunters」的黑客組織聲稱對事件負責，稱攻擊影響逾9000所學校，並取得數十億條私人訊息及其他紀錄。Canvas母公司表示，黑客是利用免費教師帳戶的漏洞發動攻擊，相關帳戶已被暫停，平台於事件翌日基本恢復正常。

市教育總監薩謬思(Kamar Samuels)發表聲明確認了教育系統近日出現的兩宗數據私隱事故，其中一宗涉及Canvas，影響七所公立學校；另一宗則發生在曼哈頓地獄廚房(Hell's Kitchen)的「圖形校園」(Graphic Campus)，管理人員在電腦室發現記錄鍵盤輸入的惡意軟件，技術人員已將其清除，並正與紐約市警展開調查。

在審計報告方面，教育局整體接受了主計長辦公室的大多數建議，包括建立學生資訊系統全面目錄及制定書面數據分類政策；主計長辦公室表示將於一年後跟進落實進度。