芝加哥公立学校的供应商 Battelle for Kids 在 12 月遭受勒索软件攻击后，芝加哥公立学校遭受了大规模的数据泄露，导致近 500,000 名学生和 60,000 名员工的数据泄露。

位于俄亥俄州的 Battelle for Kids 是一家非营利性教育组织，它分析公立学校系统共享的学生数据，以设计教学模型并评估教师表现。

Battelle for Kid 表示，他们 与 267 个学校系统合作，其项目已惠及超过 280 万学生。

芝加哥公立学校的大规模数据泄露
昨天，芝加哥公立学校 (CPS) 学区披露，12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495,448 名学生和 56,138 名员工的存储数据。

根据 CPS，学校系统与 Battelle for Kids 合作，上传学生课程信息和评估数据以供教师评估。

CPS 表示，存储在 Battelle for Kids 服务器上的数据是 2015 至 2019 学年的数据，并暴露了学生的个人信息和评估分数。

“具体来说，未经授权的一方获得了您孩子的姓名、出生日期、性别、年级、学校、芝加哥公立学校学生证号码、州学生证号码、有关您的学生所学课程的信息以及所使用的表演任务的分数用于 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间的教师评估，”CPS学生数据泄露通知解释说。

对于员工，威胁参与者可能会在 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间访问他们的姓名、学校、员工 ID 号、CPS 电子邮件地址和 Battelle for Kids 用户名。

CPS 表示，攻击中没有暴露任何社会安全号码、家庭住址、健康数据或财务信息。

CPS 正在为任何受影响的学生或工作人员提供免费的信用监控和身份盗用保护。 可以在学校系统创建的CPS 数据泄露页面上找到有关如何访问此免费信用报告的说明 。

超过四个月披露违规行为
4 月，俄亥俄州学区开始发布 数据泄露通知 ，警告学生和教职员工，他们的数据在针对 Battelle for Kids 的勒索软件攻击中暴露。

尽管 CPS 表示他们与 Battelle for Kids 签订的合同要求立即通知数据泄露，但他们在 4 个月后，即 2022 年 4 月 26 日才首次得知数据泄露事件。

然而，直到 5 月 11 日，他们才第一次了解到哪些特定的学生或教职员工的数据暴露了。

“我们的供应商 Battelle for Kids 告诉我们，延迟通知 CPS 的原因是 Batelle 通过独立的取证分析验证违规行为的真实性以及执法当局调查问题，”CPS 在其数据泄露页面上解释道。

虽然尚不清楚这次攻击背后的勒索软件团伙是什么，但所有组织都会在加密设备上留下勒索记录，其中包括电子邮件地址或勒索谈判网站的链接。

列出被盗数据的赎金记录示例
作为勒索过程的一部分，勒索软件团伙通常通过共享所有被盗文件夹的列表并有时共享单个文件作为证据来提供他们窃取数据的证据。

当受害者拒绝支付赎金时，威胁参与者公开披露他们攻击了受害者并开始泄露他们被盗的数据。

勒索软件团伙没有公开披露他们违反了 Battelle for Kids，这可能表明 Battelle for Kids 支付了赎金要求。

纽约市教育部在 3 月披露了类似但不相关的 数据泄露事件，供应商的网络攻击暴露了 820,000 名学生的数据。

ZZQIDC已就问题联系了 Battelle for Kids，但目前尚未收到回复。