麻州少年黑客承認攻破PowerSchool洩六千萬學生資料

麻省男子認罪 承認入侵PowerSchool盜取數據進行勒索

波士頓消息——一名來自麻省的19歲男子馬修·萊恩（Matthew Lane）同意認罪，承認入侵雲端教育軟件供應商PowerSchool的系統，並竊取涉及數百萬學生及教師的資料。這些被盜數據後來被黑客用作勒索該公司及多個學區，要求支付贖金。

萊恩於週二與麻州伍斯特聯邦法院達成認罪協議，解決控方提出的指控。檢方表示，該案涉及他與他人策劃的多起黑客行動，目標鎖定PowerSchool及一家電信公司，並以比特幣勒索受害方付款。

這是當局首次確認PowerSchool數據洩露事件的具體責任人。PowerSchool的軟件被超過18,000所學校採用，支援全美逾6,000萬學生。雖然法院文件未直接點名PowerSchool，但相關人士證實該公司是受害企業之一。PowerSchool發言人則將相關查詢轉介至美國檢察官辦公室。萊恩的律師未回應置評請求。

總部位於加州佛爾瑟姆的PowerSchool在今年1月公開了此次數據洩露事件，聲稱於2024年12月28日首次發現入侵跡象，並選擇支付贖金，以防止敏感資料被公開。公司亦透露，已有多個學區收到與同一批數據相關的勒索要求。

根據檢方指控，9月時萊恩利用PowerSchool一名承包商的賬戶憑證，成功入侵系統並取得學生及教師資料。12月，他將這些資料轉移至他在烏克蘭租用的雲端伺服器。數日後，PowerSchool收到勒索信，威脅若不支付價值285萬美元的比特幣，便會公開超過6,000萬學生及1,000萬教師的姓名、地址、社會保障號碼及其他敏感信息。

此外，檢方指出，萊恩與同夥在入侵PowerSchool前，曾密謀勒索一家未具名的電信公司，威脅公開其網絡被盜數據，最終成功索取20萬美元贖金。

萊恩同意認罪，罪名包括網絡勒索、加重身份盜竊及未經授權存取受保護電腦系統，面臨至少兩年監禁。

—

評論與啟示：教育數據安全的隱憂與挑戰

這宗案件揭示了當前教育科技領域面臨的嚴峻網絡安全挑戰。PowerSchool作為全美最大規模的學校管理軟件供應商，其系統遭駭事件波及數千萬學生及教師資料，顯示出教育數據的龐大價值與脆弱性。黑客不僅竊取大量個人敏感信息，更利用這些資料進行勒索，凸顯出企業在應對勒索軟件攻擊時的兩難：支付贖金或冒著資料外洩風險。

從宏觀角度看，這反映出教育部門長期以來在資安投入不足的問題。學校系統往往預算有限，缺乏足夠的資安防護措施，成為黑客眼中的「軟目標」。同時，雲端服務的普及雖大幅提升了教育管理效率，但也帶來更複雜的安全風險，尤其是跨國數據存儲與傳輸增加了監管和技術防護的難度。

此外，該事件也提醒我們，個人身份信息的保護需要全方位的策略，不僅僅是技術防護，更包括對供應鏈安全的嚴格審查，以及建立快速反應和危機管理機制。對於家長和教育工作者而言，提升對網絡安全的認知和警覺性同樣重要。

最後，從法律層面看，這起案件的成功偵破及認罪，展示了執法部門在跨國網絡犯罪調查上的進展，但同時也提醒我們，面對技術日益複雜的網絡犯罪，國際合作和法律更新勢在必行。未來如何在保障教育數據安全與促進數字教育發展間取得平衡，將是政策制定者及業界共同面對的重大課題。

以上文章由特價GPT API KEY所翻譯及撰寫。