Bleeping Computer 網站披露，美國非營利性教育機構全國學生信息交換中心（National Student Clearinghouse）近期披露一起數據泄露事件，全美 890 所使用其服務的學校受到影響。

Clearinghouse 為大約 22000 所高中和大約 3600 所高校提供教育報告、數據交換、驗證和研究服務。

數據泄露事件可以追蹤到 2023 年 5 月 31 日，Clearinghouse  第三方軟件供應商 Progress Software 向其通報，該供應商的 MOVEit 傳輸解決方案存在網絡安全問題。得知這一問題后，Clearinghouse 立刻組織頂尖網絡安全專家，迅速展開調查分析并與執法部門進行協調。

最終發現被盜文件中包含的個人身份信息（PII）主要包括姓名、出生日期、聯系信息、社會保險號、學生證號和一些與學校相關的記錄（如注冊記錄、學位記錄和課程數據）。

Clearinghouse 在提交給加州總檢察長辦公室的一份數據泄露通知函中表示網絡攻擊者于 5 月 30 日訪問了其 MOVEit 托管文件傳輸（MFT）服務器，并竊取包含大量數據信息的文件。此外，從 Clearinghouse  發布的數據泄露通知函可以得知，受影響的學校在攻擊中暴露的數據各不相同。

網絡攻擊背后的 Clop 勒索軟件團伙

5 月 27 日，Clop 勒索軟件團伙利用 MOVEit Transfer 安全文件傳輸平臺中的安全漏洞，開始發動大規模數據盜竊攻擊活動。從 6 月 15 日開始，網絡攻擊者開始勒索遭受網絡攻擊的組織，并在該團伙的暗網數據泄漏網站上公布受害組織的名稱。

據悉，此次大規模攻擊活動預計影響全球數百家組織，多個美國聯邦機構和兩個美國能源部（DOE）實體已被證實成為了這次數據盜竊和勒索攻擊的“犧牲品”。（許多組織在過去四個月中也已經通知了受影響的客戶）盡管潛在受害者人數眾多，但 Coveware 估計只有少數受害者可能會屈服于 Clop 的贖金要求。

就算如此，由于贖金要求過高，預計 Clop 勒索軟件網絡犯罪團伙將收取約 7500 萬至 1 億美元的贖金。

文章來源：https://www.bleepingcomputer.com/news/security/national-student-clearinghouse-data-breach-impacts-890-schools/