PowerSchool是美国最大的K-12教育云端软件提供商，为北美超过75%的学生提供服务。近日攻击者使用其泄露凭证成功访问系统，窃取了大量学生和老师的个人数据，包括姓名、地址、社会安全号码、医疗信息、成绩及其他可识别个人身份的信息。

近年来教育行业数据泄露事件频发，教育机构在信息化建设过程中，人员管理疏漏及数据安全管理不完善，使得重要数据容易遭受非法访问，为黑客攻击提供了可乘之机。同时数据泄露问题，往往后续就会引发身份盗用、电信诈骗、声誉损害及长期勒索等多重安全威胁。

公安部一所深圳网防服务中心（网安检测）观点：教育行业存储大量敏感数据，作为教育以及其他行业的运营者，应该做好以下措施防范数据泄露事件发生：

1、数据安全管理：梳理明确自身重要数据所在位置，自行存储应加密存储敏感数据，实施动态脱敏和分类分级制度；SaaS类云平台存储，要明确数据级别，针对数据重要程度配置安全防范措施，例如至少要求第三方服务商签署保密协议并定期渗透测试，确保数据安全可控。

人员管理：需建立严格的权限管理体系，实施“最小化授权”原则，对读取、导出数据类重点操作至少配置可审计措施，建议配套相应的风险控制措施提供及时预警。

一、事件概述

近日，全球领先的K-12教育软件提供商PowerSchool发生大规模数据泄露事件。根据CrowdStrike发布的调查报告，攻击者通过泄露的凭据入侵了PowerSchool的客户支持门户PowerSource，并在2024年12月19日至12月28日期间持续访问系统，窃取了包含学生和教师个人信息的数据表。

受影响范围：涉及全球1.8万家教育机构，超过6000万学生及教师，姓名、出生日期、家庭地址、联系方式、社保号、医疗数据及成绩等。

加拿大多伦多地区教育局周一披露，1985年至2024年间入学的所有学生的信息都被泄露，相当于140万名学生和9万多名教师的信息。这些数据包括姓名、出生日期、健康卡号、家庭住址、违纪记录，甚至居住身份。该学区指出，数据泄露的范围因入学时间而异，但影响到该时间段内的所有学生。加利福尼亚州门洛帕克市学区也报告了重大影响。所有在校学生、教职员工以及自2009-2010学年以来注册或受雇的人员都受到了影响。此次漏洞包括近10700名学生和许多前教职员工。

攻击手法：未使用勒索软件或漏洞利用，而是通过窃取的凭证直接访问系统，属于典型的凭证滥用攻击。

历史关联：调查显示，攻击者曾在2024年8月和9月使用相同凭据入侵PowerSchool，但无法确认是否为同一攻击者。

PowerSchool简介：PowerSchool是全球领先的K-12教育云平台提供商，提供统一管理平台，覆盖90多个国家，通过数据分析和云计算优化教育流程。为18000余家教育机构及6000多万学生提供学生信息管理、成绩追踪、数据分析等一体化解决方案，是教育行业数字化转型的核心基础设施之一。

一、泄漏原因分析及影响

（一）凭证管理失效

凭据泄露：攻击者通过未公开渠道获取PowerSchool员工或系统的有效凭据，可能源于弱密码、未启用多因素认证（MFA）或内部泄露。

权限控制不足：数据权限过高，攻击者可直接访问核心数据库，未遵循最小权限原则。

（二）安全监测与响应滞后

历史入侵未彻底排查：8月和9月的入侵事件未触发全面审计，导致相同攻击路径被重复利用。

日志监控不足：长达10天的持续访问未被实时检测，暴露安全运营中心（SOC）的响应延迟。

（三）供应链风险

供应链漏洞：PowerSchool依赖云服务商和IT供应商，但未对第三方访问权限进行严格审查，可能成为攻击入口。

当前数据泄露事件已对教育系统构成多重安全威胁：一方面导致未成年人社保号、医疗数据等敏感信息暴露，可能引发身份盗用、电信诈骗及心理创伤等风险；另一方面学生与教师的个人信息被窃后存在被用于伪造身份、非法信贷等犯罪活动的隐患，直接威胁个人财产安全与社会声誉；同时攻击者获取的教师社保号码等核心数据更可能形成长期安全隐患，为未来实施勒索攻击、网络钓鱼等持续性侵害埋下伏笔。

二、教育行业数据泄露事件频发

（一）四川彭某窃取70万学生信息案（2024年）​

程序员彭某利用职务之便窃取四川多地学生信息70余万条（含姓名、学校、家长电话），以40万元贩卖给全国17省市教培机构，最终形成黑色产业链。

（二）黑龙江梁某等人贩卖学生信息案（2024年）

技术公司员工梁某从后勤平台窃取学生及家长信息，层层转卖给教培机构，非法获利8.3万元。法院以侵犯公民个人信息罪判处梁某等人刑罚。

（三）厦门某教培机构遭黑客入侵（2022年）​

黑客朱某某利用系统漏洞侵入厦门某教培机构办公系统，窃取近2万条学员信息（含姓名、身份证号、手机号），导致多名学员遭遇精准诈骗。机构因未履行网络安全义务被罚款1.5万元，主犯朱某某获刑9个月。

（四）2022年广东某中学信息泄露事件

因学校数据库漏洞导致3万条学生信息泄露，学校被教育局通报批评并罚款10万元。

三、公安部一所深圳网防服务中心（网安检测）观点

教育行业作为关键基础设施的一部分，存储大量敏感数据，数据泄露不仅影响个人隐私和安全，还可能干扰教育秩序和社会稳定。PowerSchool事件凸显了教育行业网络安全的紧迫性，需立即采取措施加强防护，优先解决以下风险：

（一）数据安全管理

1．明确数据位置与存储安全：对自身数据进行全面梳理，精准定位重要数据的存储位置，包括本地服务器、数据中心以及各类业务系统等。对于自行存储的敏感数据，必须采用强加密算法进行加密存储，确保数据在静态状态下的安全性，防止因存储介质被盗或泄露而导致数据被非法获取。

2．实施动态脱敏与分类分级制度：根据数据的敏感程度、业务重要性和法律法规要求，对数据进行科学合理的分类分级。针对不同级别数据，制定差异化的安全策略，如高敏感数据应采取严格访问控制、加密传输等多重防护措施。同时，实施动态脱敏技术，在数据用于测试、分析等场景时，实时对敏感信息进行脱敏处理，降低数据泄漏风险。

3．强化SaaS类云平台数据安全：使用SaaS类云平台存储数据时，首先要明确数据的级别和重要程度，依据数据分类分级结果，针对性地配置安全防护措施。严格要求第三方服务商签署保密协议，明确其数据安全保护责任和义务，确保其具备足够的安全资质和能力。定期对第三方服务商进行渗透测试，及时发现并修复潜在的安全漏洞，保障数据在云平台上的安全可控性。

（二）人员管理

1．建立严格权限管理体系：构建完善的权限管理框架，遵循“最小化授权”原则，根据员工的岗位职责和工作需求，精确分配其所需的最小必要数据访问权限。避免因权限过大导致的数据滥用或泄漏风险，确保员工只能访问履行工作职责所必需的数据资源。

2．重点操作审计与风险控制：针对读取、导出数据等重点操作，配置严谨的可审计措施，记录操作的时间、地点、人员、内容等详细信息，确保所有操作可追溯、可审查。同时，配套相应的风险控制措施，如实时监测数据访问和操作行为，利用异常检测技术及时发现并预警潜在的风险操作，如频繁大量导出数据、非工作时间访问敏感数据等，以便迅速采取应对措施，防止数据泄露事件的发生。

四、相关法律法规

从2015年起，《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国国家安全法》开始陆续出台并实施，数据保护的法律体系正在逐步完善。尤其在2021年，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）的出台，为中国的个人信息保护指明了更明确的法律方向。2023年10月16日，国务院公布《未成年人网络保护条例》，回应了社会对未成年人个人信息网络保护问题的关注。在教育领域，相关政策和法规也在不断涌现，意在强化对教育行业数据的管理和保护。

《个保法》第六十六条、第六十九条[1]规定，个人信息处理者须证明自己对于个人信息权益的损害没有过错，否则应当承担包括停止侵害、排除妨碍、赔偿损失、赔礼道歉等在内的法律责任。对于违反《个保法》的行为，主管部门将责令改正，给予警告，没收违法所得；拒不改正的，对法人主体和直接责任人员处以罚款，记入信用档案，并予以公示。构成犯罪的，依法追究刑事责任。

《中华人民共和国网络安全法》第五十九条、第六十四条[2]规定，网络运营者不履行网络安全保护义务、侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，给予警告，并视情节处以没收违法所得、罚款等处罚。

《中华人民共和国数据安全法》第四十五条[3]规定，不履行数据安全保护义务的，可能涉及责令改正，给予警告、罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等行政处罚。

《未成年人网络保护条例》第五十六条[4]规定，个人信息处理者或网络服务提供者违反规定的义务的，可能被网信、新闻出版等主管部门责令改正，给予警告，没收违法所得，并处罚款等；拒不改正或者情节严重的，可能被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。