黑客攻击后,大量洛杉矶学生的心理健康记录被发布到暗网上

据The74网站2月22日报道 教育媒体The74的一项调查显示，在洛杉矶市学区去年成为大规模勒索软件攻击的受害者后，数百甚至数千名前该市学生的心理健康记录被公布在网上，这些记录十分详细、高度敏感。

这些学生心理评估报告由使用俄语的勒索软件团伙Vice Society发布在暗网，提供了接受特殊教育服务的学生各种个人身份信息，包括详细的病史、学习成绩和纪律记录。

但人们可能还不知道自己的敏感信息已经被挂到了网上，洛杉矶联合学区的一位发言人证实，该学区并没有提醒相关学生，而且领导层甚至没有承认存在这些记录。

网络安全专家表示，学生心理记录被集体曝光，学区缺乏透明度，凸显了现有联邦隐私法的缺陷。医院和健康保险公司保存的敏感健康记录受到严格的数据泄露通知政策的保护，但根据现有的联邦隐私法规，学区不需要在学生的个人医疗记录暴露时通知公众。

洛杉矶学校负责人阿尔贝托·卡瓦略(Alberto Carvalho)在10月初承认，在学区拒绝支付一笔未指明的赎金要求后，网络团伙将大约500G的被盗记录发布到暗网上，他试图淡化此事对学生的影响。早前的一篇新闻报道称，泄露的文件包含一些学生的心理评估。卡瓦略称这一发现“完全不正确”。

“根据我们目前所看到的情况，我们没有看到任何证据表明精神评估信息或健康记录已被公开，”卡瓦略说，他承认黑客已经“触及”了该地区庞大的学生信息系统，并暴露了有限的学生记录，包括他们的姓名和地址。

这500G的被盗记录包括数万份个人文件，包括成年监护人的社保卡、护照、财务记录和其他人事档案的扫描件。

但The74已经独立证实，有500名学生的心理评估文件可以在Vice Society泄露网站上以PDF文件的形式下载，这些文件内容高度敏感。

超过2200份文件遵循一致的文件命名结构，这表明泄露的学生心理文件总数达到数千份。这些记录至少有10年的历史，它们似乎不包含当前学生的信息，但它们确实包含了现在20多岁和30多岁的洛杉矶联合学区前学生的高度个人信息。

“家庭的巨大情感压力”

学习权利法律中心是一家总部位于洛杉矶的非营利组织，为与孩子的学区发生特殊教育纠纷的低收入家庭提供免费法律代理，中心高级律师斯蒂文·卡特隆(Steven Catron)说，流到暗网的学生的心理教育案例研究，是学校保存的关于残障儿童的最敏感的记录之一。

这些评估旨在帮助学校评估学生的残障和其他因素如何影响他们的学习。其中包括儿童病史的全面背景，对家庭和家庭生活的观察，以及对他们认知、学业和情感功能的评估。

其中一份报告指出，一名学生“由于家庭暴力”被安置在寄养机构。报告指出，这名学生“注意力持续时间有限”，经常拒绝完成作业，“当他不能如愿时很容易生气”。另一名学生表示，他希望“成为一名警察，这样他就可以逮捕吸毒的人。”一份报告指出，一名学生的父亲“在一家制造飞机零部件的工厂工作，不会说英语；他的母亲是图书管理员助理，会说一点英语。”

卡特隆说，一般来说，此类报告可以包括有关家庭移民身份、性行为不端指控、毫无根据的虐待儿童报告，或者学生“在学校环境中殴打其他儿童或成年人”的细节。但他说，对于家庭来说，即使这些信息并不准确，也很难从文件中删除敏感信息。现在，随着这种性质的学生记录被泄露到公共领域，“谁知道会发生什么。”

卡特隆说：“信息的范围非常广泛，对人们造成了相当大的伤害。无论准确与否，都会给这个家庭带来巨大的情感压力。”

可获得的档案似乎仅限于主要出生在20世纪80年代末和90年代的前洛杉矶学生。但是，K12安全信息交换中心(K12 Security Information eXchange)全美主任、学校网络安全专家道格·莱文(Doug Levin)表示，这些记录的年代突显出，当学区遭受黑客攻击时，潜在的数据泄露受害者远远超出了在校学生。如果学区缺乏足够的数据安全保障措施，学生的敏感信息可能会在毕业数年甚至数十年后被曝光。

信息披露缺口

医疗保健提供商必须遵守严格的数据隐私规则，如果涉及敏感患者记录的数据泄露，可能会面临巨额罚款。联邦HIPPA法案所涵盖的机构和企业必须公开承认影响500人或以上的健康数据泄露，并“不合理拖延，在任何情况下不迟于泄露后60天”通知美国卫生与公众服务部。

佛罗里达州布劳沃德县的学区最近陷入了数据泄露披露的困境，作为美国第六大学校系统，它在2021年遭受了勒索软件攻击，并拒绝支付最初设定的4000万美元的勒索要求。作为回应，威胁行为者在一个暗网泄漏网站上发布了参加其健康计划的近5万名地区人员的个人信息。

据《南佛罗里达太阳哨兵报》报道，佛罗里达州的地方官员最终等了154天——比联邦规定的时间长了3个月——才在其网站上披露了此次泄露的全部情况。

布劳沃德区是一个HIPPA覆盖的实体，因为它经营一个自付保险的健康计划。但根据健康隐私法，公立学校通常不被视为“覆盖实体”，所以他们是受到《家庭教育权利和隐私法案》即FERPA的保护。该法律禁止公开发布学生记录，但与HIPAA不同的是，它不要求学校披露此类违规行为发生的时间。

洛杉矶学区发言人说，一小部分洛杉矶学生的健康记录受HIPAA保护，但心理评估不受保护。根据美国教育部的说法，涉及学生记录的数据泄露——就像在洛杉矶发生的那样——可能被视为违反了FERPA。

然而，违反FERPA几乎不存在后果。如果学区制定了未经家长许可就公布学生记录的“政策或做法”，他们可能会失去联邦资金，这是一个很高的门槛，排除了偶尔的违规行为。自1974年该法律颁布以来，它从未被用来剥夺违反规定的地区的资金。

“心理折磨”

几十年来，洛杉矶学区一直难以充分履行为残疾儿童提供特殊教育服务的义务。去年，在美国教育部民权办公室的调查发现该学区未能在疫情期间提供补偿服务后，该学区达成了一项向残疾儿童提供补偿服务的协议。家长和支持者上个月表示，许多儿童仍在等待这些服务。

来自洛杉矶的阿里尔·哈曼-霍姆斯有三个孩子正在接受特殊教育，她说她担心数据泄露可能会进一步分流急需的特殊教育服务的资金。

“我宁愿让这些资金回到学校和特殊教育，而不是花费大量的诉讼或解决隐私问题，”哈曼-霍姆斯说；她是该地区特殊教育社区咨询委员会的副主席。但她承认，如果她自己孩子的心理评估被泄露到网上，“会非常令人不安”。

她说：“我们的二儿子是一个非常注重隐私的人，知道外界对他的个人观察可能会对他造成心理折磨。这对他来说将是毁灭性的打击。”

转载来源“纽约华人资讯网”