Search
By
Vụ vi phạm của gã khổng lồ công nghệ giáo dục PowerSchool là một trong những vụ vi phạm dữ liệu sinh viên lớn nhất trong lịch sử gần đây. Mặc dù chúng tôi vẫn không biết chính xác có bao nhiêu hồ sơ bị đánh cắp (PowerSchool đã nhiều lần từ chối tiết lộ con số này), các báo cáo cho rằng vụ vi phạm này đã ảnh hưởng đến hơn 62 triệu học sinh và 9,5 triệu giáo viên ở Hoa Kỳ.
PowerSchool, nơi cung cấp phần mềm K-12 cho hơn 18.000 trường học trên khắp Bắc Mỹ, lần đầu tiên được tiết lộ vụ vi phạm dữ liệu vào tháng 1. Vào thời điểm đó, PowerSchool cho biết các tin tặc giấu tên đã sử dụng một thông tin xác thực bị xâm phạm duy nhất để truy cập vào cổng hỗ trợ khách hàng của mình, cấp quyền truy cập vào kho dữ liệu phong phú trong hệ thống thông tin trường học của mình, PowerSchool SIS, hệ thống mà các trường sử dụng để quản lý hồ sơ học sinh.
Tin tặc đã truy cập thông tin cá nhân nhạy cảm, bao gồm điểm số, thông tin y tế và số An sinh xã hội của học sinh. Nhiều trường học bị ảnh hưởng bởi vi phạm đã nói với TechCrunch rằng những thông tin có độ nhạy cảm cao khác, bao gồm dữ liệu học sinh có độ nhạy cảm cao, bao gồm thông tin về các lệnh cấm, đã bị truy cập.
PowerSchool chưa xác nhận hay phủ nhận con số 62 triệu được báo cáo, nhưng nhiều hồ sơ khác nhau đã xác nhận rằng hàng triệu người đã bị ảnh hưởng bởi vi phạm. Một hồ sơ gửi tổng chưởng lý Texas tiết lộ rằng gần 800.000 cư dân tiểu bang đã bị đánh cắp dữ liệu, trong khi Học khu Thành phố Rochester xác nhận rằng 134.000 học sinh bị ảnh hưởng.
PowerSchool gần đây đã xác nhận với TechCrunch rằng khoảng 16.000 người ở Vương quốc Anh cũng bị đánh cắp dữ liệu do vi phạm.
Một vài tuần đầu tiên của chính quyền Trump đã chứng kiến một loại vi phạm khác — và một loại vi phạm có thể sẽ đi vào lịch sử với tên gọi vụ xâm phạm dữ liệu của chính phủ Hoa Kỳ lớn nhất từ trước đến nay
Các cá nhân làm việc cho Elon Musk, người đứng sau Cục Hiệu quả Chính phủ của chính quyền Trump, hay DOGE, đã nắm quyền kiểm soát các cơ quan và bộ dữ liệu hàng đầu của liên bang để truy cập vào kho dữ liệu liên bang nhạy cảm khổng lồ. DOGE — bao gồm chủ yếu là nhân viên khu vực tư nhân từ các doanh nghiệp của Musk — đã giành quyền truy cập rộng rãi vào các hệ thống thanh toán quan trọng của chính phủ Hoa Kỳ chứa thông tin cá nhân của hàng triệu người Mỹ và chịu trách nhiệm giải ngân hàng nghìn tỷ đô la mỗi năm.
Kể từ đó, liên minh gồm hơn chục bang của Hoa Kỳ đã đệ đơn kiện để chặn nhóm cắt giảm chi phí của Musk truy cập vào các hệ thống chính phủ có chứa dữ liệu cá nhân của người Mỹ Hơn 100 quan chức liên bang hiện tại và trước đây cũng đã kiện cơ quan DOGE của Musk vì đã truy cập hồ sơ nhân sự nhạy cảm của người Mỹ mà không có sự cho phép thích hợp.
Trung tâm Y tế Cộng đồng (CHC), một nhà cung cấp dịch vụ chăm sóc sức khỏe phi lợi nhuận có trụ sở tại Connecticut, cho biết vào tháng 1 rằng một tin tặc đã truy cập vào dữ liệu nhạy cảm của hơn một triệu bệnh nhân.
CHC, nơi cung cấp các dịch vụ như chương trình chăm sóc sức khỏe tại trường học và lạm dụng dược chất, cho biết tin tặc giấu tên đã xâm phạm mạng của họ vào ngày 2 tháng 1 để đánh cắp dữ liệu cá nhân và thông tin sức khỏe nhạy cảm của bệnh nhân. Dữ liệu này bao gồm địa chỉ, số điện thoại, chẩn đoán, chi tiết điều trị, kết quả xét nghiệm, số An sinh xã hội và thông tin bảo hiểm y tế của bệnh nhân.
Bộ ba ứng dụng theo dõi đã tiết lộ dữ liệu cá nhân của hàng triệu người đã vô tình cài chúng vào thiết bị của họ, một nhà nghiên cứu bảo mật đã tiết lộ với TechCrunch vào tháng 2.
Ba ứng dụng — Cocospy, Spyic và Spyzie — tất cả đều có chung lỗ hổng bảo mật cho phép mọi người truy cập dữ liệu cá nhân, bao gồm tin nhắn, ảnh và nhật ký cuộc gọi, từ các thiết bị đã cài đặt ứng dụng mà chủ sở hữu thiết bị thường không biết.
Lỗi dễ khai thác cũng làm lộ địa chỉ email của những người đã đăng ký ứng dụng phần mềm theo dõi. Điều đó cho phép một nhà nghiên cứu bảo mật thu thập được địa chỉ email của khoảng 3,2 triệu địa chỉ email của khách hàng Cocospy, Spyic và Spyzie, được cung cấp cho trang thông báo vi phạm Have I Been Pwned.
DISA, nhà cung cấp dịch vụ sàng lọc nhân viên có trụ sở tại Texas, bao gồm xét nghiệm ma túy, rượu và kiểm tra lý lịch, đã xác nhận vào tháng 2 về một vụ vi phạm dữ liệu lớn xảy ra gần một năm trước đó vào tháng 4 năm 2024.
Trong hồ sơ gửi tới tổng chưởng lý bang Maine, DISA cho biết vụ vi phạm này ảnh hưởng đến nhiều hơn 3,3 triệu người đã trải qua các cuộc kiểm tra sàng lọc nhân viên. Mặc dù công ty cho biết cuộc điều tra nội bộ của họ “không thể kết luận chắc chắn” dữ liệu cụ thể nào đã bị đánh cắp, một hồ sơ riêng ở bang Massachusetts xác nhận rằng số An sinh xã hội, thông tin tài chính và giấy tờ tùy thân do chính phủ cấp nằm trong số dữ liệu bị đánh cắp.
DISA đổ lỗi vi phạm cho một hacker không rõ danh tính. Kẻ này đã truy cập vào một phần mạng của công ty trong hơn hai tháng trước khi bị phát hiện.
