علمت صحيفة The Post أن أكثر من 380 ألف طالب إضافي في المدارس العامة في المدينة تعرضوا لاختراق بياناتهم الشخصية في هجوم إلكتروني ضخم – مما رفع إجمالي عدد الأطفال المتأثرين إلى أكثر من مليون طفل.
بدأت وزارة التعليم في مدينة نيويورك الأسبوع الماضي بإرسال رسائل لإخطار مئات الآلاف من الطلاب الحاليين والسابقين الإضافيين بأنهم ضحايا الهجوم السيبراني الذي تورط فيه أحد بائعي البرامج السابقين التابعين لوزارة التعليم، وذلك وفقًا لرسالة أُرسلت إلى أحد الخريجين وتمت مراجعتها بواسطة البريد.
وقالت الوزارة إن وزارة التعليم أبلغت في البداية أن حوالي 800 ألف طالب حالي وسابق تأثروا، ولكن تم إخطارها من قبل البائع في أكتوبر بأن عشرات الأطفال الإضافيين كانوا أيضًا ضحايا.
وقالت رسالة وزارة التعليم إن المعلومات الشخصية التي تم اختراقها تشمل اسم الطالب وتاريخ ميلاده وعرقه وسجلاته الأكاديمية والالتحاق بالمدرسة.
وقال مسؤولو التعليم إنه لم يتم انتهاك أي معلومات تتعلق بالضمان الاجتماعي أو المعلومات المالية.
قالت وزارة الطاقة إنها تقدم للطلاب المتأثرين – الذين تخرج بعضهم من النظام قبل عدة سنوات من حدوث الاختراق الأمني - عامين من خدمات الائتمان المجانية ومراقبة الهوية من خلال البائع IDX للمساعدة في الحماية من سرقة الهوية.
حدث الاختراق الأمني في أواخر ديسمبر 2021 إلى أوائل يناير 2022 مع شركة البرمجيات Illuminate التابعة لوزارة الطاقة آنذاك، والتي تقدم منصات التقييم والحضور والمراسلة.
منذ ذلك الحين، قطع نظام المدارس العامة بالمدينة العلاقات مع Illuminate.
توفر الرسالة الأخيرة الموجهة إلى الطلاب السابقين والحاليين المتأثرين رابطًا لإشعار أمني محدث على موقع وزارة التعليم الذي ينص على أنه “تم تحديد ما يقرب من 387000 طالب حالي وسابق في NYCPS حديثًا على أنهم متأثرون بحادث أمان بيانات Illuminate في عام 2022.” وقال مندوب وزارة الطاقة إن هذا الرقم يشبه 381000.
وقالت وزارة الطاقة إن 94 ألفًا آخرين من طلاب المدارس العامة الحاليين والسابقين يتلقون أيضًا إشعارًا ثانيًا لأن شركة Illuminate حددت “معلومات إضافية خاصة بهم تأثرت بحادث أمن البيانات لعام 2022”.
“تكتب لكم مدارس نيويورك العامة تحديثًا بشأن حادث أمن البيانات الذي وقع قبل عامين والذي تورط فيه شركة Illuminate Education،” جاء في الرسالة المرسلة من رئيس قسم المعلومات في وزارة التعليم، انتخاب شاكيل، وكبير مسؤولي الخصوصية دينيس دوي إلى الطلاب المتضررين في العام الماضي أسبوع. “إن NYCPS تتعامل مع هذا الوضع بمنتهى الجدية.”
في مايو 2022، أبلغ مسؤولو التعليم بالمدينة 800000 طالب تم تحديدهم مسبقًا متأثرين بالانتهاك.
في الرسالة الأخيرة، قال مسؤولو الأمن السيبراني بوزارة الطاقة إن شركة Illuminate أخطرت النظام المدرسي بالمدينة في أكتوبر من العام الماضي بأنها أصبحت على علم بأن “أفرادًا إضافيين تأثروا بحادث أمن البيانات لعام 2022.
قال شاكيل ودويل في الرسالة الموجهة إلى أحد الطلاب المتضررين: “أنت أحد الأفراد الذين حددتهم شركة Illuminate مؤخرًا على أنهم متأثرون بحادث أمن البيانات لعام 2022”.
أصر مسؤولو وزارة التعليم على أنهم عززوا بروتوكولات الأمن السيبراني وأكدوا أنهم يحاسبون المتعاقدين على حماية خصوصية الطلاب.
“تلتزم مدينة NYCPS بحماية خصوصية المعلومات الشخصية لطلابنا. قال المسؤولون في الرسالة: “لدينا عملية امتثال أمني شاملة للمساعدة في التأكد من أن الشركات التي تصل إلى معلومات الطلاب توافق على الالتزام بالقوانين الفيدرالية وقوانين الولاية والقوانين المحلية والمساعدة في حماية بياناتك”.
“بعد حادثة Illuminate لعام 2022، اتخذت NYCPS أيضًا خطوات لضمان عدم استخدام المدارس لمنتجات برمجية تتضمن البائعين الذين يتلقون معلومات الطلاب أو يصلون إليها ما لم يكمل البائعون عملية الامتثال لدينا بالكامل.”
أما بالنسبة لخدمات الائتمان ومراقبة الهوية المجانية التي يتم تقديمها للمتضررين لمدة عامين، “فلا توجد تكلفة عليك، ولكن يجب عليك التسجيل وتفعيل الخدمات بنفسك”، حسبما قالت وزارة الطاقة.
الموعد النهائي للتسجيل هو 30 يوليو 2024.
لم يكن خرق الأمن السيبراني هو الوحيد الذي أثر على طلاب وموظفي المدارس العامة بالمدينة.
في الصيف الماضي، تأثر 45000 طالب وموظف في المدارس ومقدمي الخدمات بهجوم اختراق منفصل شمل أرقام الضمان الاجتماعي وتواريخ الميلاد ومعرفات الموظفين وأرقام OSIS – الأرقام المكونة من تسعة أرقام الصادرة لجميع الطلاب الذين يلتحقون بمدرسة عامة بالمدينة.
وبشكل عام، تم الوصول إلى 19000 وثيقة من نظام نقل الملفات MOVEIt، وتم سرقة 9000 رقم ضمان اجتماعي، حسبما ذكرت وزارة الطاقة في رسالة أرسلت إلى الموظفين في ذلك الوقت.
ومع ظهور الخروقات الأمنية، استقال أنوراج شارما، كبير مسؤولي التكنولوجيا السابق في وزارة الطاقة، في الصيف الماضي.
المدارس ليست الأهداف الوحيدة المثيرة للقراصنة.
وتعرضت المرافق الطبية التي تحتفظ بسجلات حساسة للمرضى لهجمات إلكترونية، ولا سيما شبكة One Brooklyn Health التي تشرف على مستشفيات Brookdale وInterfaith وKingsbrook اليهودية.
قالت المتحدثة باسم وزارة التعليم جينا لايل لصحيفة The Post في بيان عبر البريد الإلكتروني يوم الأحد: “كما قلنا منذ البداية، فإن سلامة ورفاهية جميع طلابنا وموظفينا، بما في ذلك سلامة بياناتهم، هي أولويتنا القصوى المطلقة.
“هذه المعلومات الأخيرة، بعد أكثر من عامين من وقوعها، مثيرة للقلق وتؤكد صحة قرارنا في ربيع عام 2022 بمنع Illuminate من العمل مع NYCPS أو أي من مدارسنا. طلابنا والمجتمعات المدرسية يستحقون الأفضل.”
