洛杉矶联合学区遭数据泄露，涉百万学生信息，黑客出售超 11GB 数据

近日，有黑客在论坛上出售洛杉矶联合学区（LAUSD）相关数据，以 1000 美元价格出售的 CSV 文件包含超过 11GB 的数据，数据包括 2600 多万条学生信息、24000 多条教师信息和大约 500 条员工信息。他们还分享了两个数据样本以作为信息真实性的证据，样本中包含约 1000 份学生记录，其中有社会安全号 (SSN)、学生地址、家长地址、电子邮件地址、联系信息和出生日期。

分析样本的研究人员告诉 BleepingComputer，出售的数据似乎是真实的，但可能是旧数据，因为数据集中不包括最近的日期。然而，该黑客只共享了一小部分被盗数据的样本，因此可能还有尚未共享的新信息。

据了解，洛杉矶联合学区是美国第二大公立校区，拥有超过 25900 名教师、约 48700 名其他员工，2023-2024 学年在校学生超过 563000 人。

BleepingComputer 今天早些时候联系了洛杉矶联合学区，试图确认该黑客的说法是否属实。洛杉矶联合学区公共信息官 Britt Vaughan 告诉 BleepingComputer：“我们正在调查此事，如果有进一步的信息，我们会及时与您联系。”

Vice Society 勒索软件攻击

2022 年 9 月的劳动节周末，洛杉矶联合学区也遭到了勒索软件攻击。Vice Society 声称对此次攻击负责，并称他们在加密校区系统之前还窃取了 500GB 的文件。

在洛杉矶联合学区披露此次攻击事件的当天，联邦调查局、CISA 和 MS-ISAC 发布了一份联合公告，警告 Vice Society 过度针对教育组织。

攻击发生后，洛杉矶联合学区要求所有员工（包括教师、辅助人员和管理人员）和学生亲自到学区现场重置 @LAUSD.net 账户凭据，并加快推出多因素身份验证。

袭击发生近一个月后，Vice Society 在其暗网泄露网站上公布了洛杉矶联合学区被盗的数据，执法人员表示其中包括 “对学生的机密心理评估、合同和法律文件、商业记录以及大量数据库条目”。

泄露事件发生前，该学区宣布不会支付勒索软件团伙索要的赎金，因为支付赎金无法保证数据的完全恢复，而且 “公共资金最好用在学生身上”。

目前尚不清楚黑客论坛上出售的数据是否与 Vice Society 窃取的数据有关。

从该事件来看，再一次证明在遭受勒索攻击之后，数据泄露是必然的。即便交了赎金，也没办法阻止数据的泄露，除非对数据进行了足够的安全防护，比如做了较为深度的加密，让黑客无法获取明文，并且也无法获取密钥，这样黑客所能获取的只有密文数据，便可以防止数据泄露和数据滥用。

（转载自@安全威胁纵横，本文来源：https://www.bleepingcomputer.com/news/security/los-angeles-unified-school-district-investigates-data-theft-claims/）