Os documentos confidenciais roubados de escolas e despejados online por gangues de ransomware são crus, íntimos e gráficos. Eles descrevem agressões sexuais de estudantes, hospitalizações psiquiátricas, pais abusivos, evasão escolar – até tentativas de suicídio.
“Por favor, faça alguma coisa”, implorou um aluno em um arquivo vazado, relembrando o trauma de esbarrar continuamente em um ex-agressor em uma escola em Minneapolis. Outras vítimas falaram sobre fazer xixi na cama ou chorar até dormir.
Fólios completos de casos de agressão sexual contendo esses detalhes estavam entre os mais de 300.000 arquivos despejados online em março, depois que as Escolas Públicas de Minneapolis, com 36.000 alunos, se recusaram a pagar um resgate de US$ 1 milhão. Outros dados expostos incluíam registros médicos, queixas de discriminação, números de Seguro Social e informações de contato de funcionários distritais.
Ricas em dados digitalizados, as escolas do país são os principais alvos de hackers criminosos distantes, que estão assiduamente localizando e recolhendo arquivos confidenciais que não muito tempo atrás foram colocados em papel em armários trancados. “Nesse caso, todo mundo tem uma chave”, disse o especialista em segurança cibernética Ian Coldwater, cujo filho frequenta uma escola de ensino médio em Minneapolis.
Freqüentemente sem dinheiro, os distritos estão totalmente mal equipados não apenas para se defender, mas para responder de forma diligente e transparente quando atacados, especialmente enquanto lutam para ajudar as crianças a se recuperar da pandemia e lidar com orçamentos reduzidos.
Meses após o ataque de Minneapolis, os administradores não cumpriram sua promessa de informar as vítimas individualmente. Ao contrário dos hospitais, não existe nenhuma lei federal que exija essa notificação das escolas.
A Associated Press alcançou famílias de seis estudantes cujos arquivos de casos de agressão sexual foram expostos. A mensagem de um repórter foi a primeira vez que alguém os alertou.
“A verdade é que eles não nos notificaram de nada”, disse uma mãe cujo arquivo do filho tem 80 documentos.
Mesmo quando as escolas detectam um ataque de ransomware em andamento, os dados normalmente já se foram. Foi isso que o Distrito Escolar Unificado de Los Angeles fez no último fim de semana do Dia do Trabalho, apenas para ver a papelada particular de mais de 1.900 ex-alunos – incluindo avaliações psicológicas e registros médicos – vazada online. Somente em fevereiro as autoridades distritais divulgaram as dimensões completas da violação, observando a complexidade de notificar as vítimas com arquivos expostos de até três décadas.
Acontece que o legado duradouro dos ataques de ransomware escolar não está no fechamento de escolas, nos custos de recuperação ou mesmo no aumento dos prêmios de seguro cibernético. É o trauma para funcionários, alunos e pais da exposição online de registros privados – que a AP encontrou na internet aberta e na dark web.
“Uma enorme quantidade de informações está sendo postada online e ninguém está olhando para ver o quão ruim tudo isso é. Ou, se alguém está procurando, não está divulgando os resultados”, disse o analista Brett Callow, da empresa de segurança cibernética Emsisoft.
Outros grandes distritos recentemente atacados por roubo de dados incluem San Diego, Des Moines e Tucson, Arizona. Embora a gravidade desses hacks permaneça incerta, todos foram criticados por demorarem a admitir que foram atingidos por ransomware, demorando a notificar as vítimas – ou ambos.
Em segurança cibernética, as escolas ficaram para trás
Enquanto outros alvos de ransomware têm redes fortificadas e segmentadas, criptografando dados e exigindo autenticação multifatorial, os sistemas escolares têm sido mais lentos para reagir.
O ransomware provavelmente já afetou mais de 5 milhões de estudantes americanos até agora, com ataques distritais a caminho de aumentar este ano, disse o analista Allan Liska, da empresa de segurança cibernética Recorded Future. Quase um em cada três distritos dos EUA foi violado até o final de 2021, de acordo com uma pesquisa do Center for Internet Security, uma organização sem fins lucrativos financiada pelo governo federal.
“Todo mundo quer que as escolas sejam mais seguras, mas poucos querem ver seus impostos aumentados para isso”, disse Liska.
Em vez disso, os pais pressionaram para usar fundos limitados em coisas como professores bilíngues e novos capacetes de futebol, disse o superintendente das escolas de Albuquerque, Scott Elder, cujo distrito sofreu um ataque de ransomware em janeiro de 2022.
Há apenas três anos, os criminosos não coletavam dados rotineiramente em ataques de ransomware, disse TJ Sayers, gerente de inteligência de ameaças cibernéticas do Center for Internet Security. Agora, é comum, disse ele, com grande parte vendida na dark web.
Os criminosos do roubo de Minneapolis foram especialmente agressivos. Eles compartilharam links para os dados roubados no Facebook, Twitter, Telegram e na dark web, que os navegadores padrão não podem acessar. Uma nota manuscrita nomeando três alunos envolvidos em uma das denúncias de abuso sexual foi apresentada por um tempo no concorrente do YouTube Vimeo, que prontamente retirou o vídeo.
O sindicato do cibercrime por trás do ataque do Los Angeles United foi menos descarado. Mas os 500 gigabytes que ele despejou em seu “site de vazamento” da dark web permaneceram disponíveis gratuitamente para download em junho. Eles incluem registros financeiros e arquivos pessoais com cartões de Seguro Social e passaportes digitalizados.
A divulgação pública de registros psicológicos ou arquivos de casos de agressão sexual, completos com os nomes dos alunos, pode desgastar a psique e frustrar carreiras, dizem os psicólogos. Um arquivo roubado do Los Angeles United descrevia como um aluno do ensino médio havia tentado suicídio e entrado e saído do hospital psiquiátrico uma dúzia de vezes em um ano.
A mãe de uma adolescente de 16 anos com autismo recebeu recentemente uma carta do Distrito Escolar Unificado de San Diego dizendo que os registros médicos de sua filha podem ter vazado online em uma violação de 25 de outubro.
“O que”, Barbara Voit perguntou, “se ela não quer que o mundo saiba que ela tem autismo?”
Em um gotejamento, a extensão de uma violação emerge
Os pais de Minneapolis informados pela AP sobre as denúncias de agressão sexual vazadas se sentem duplamente vitimizados. Seus filhos lutaram contra PTSD e alguns até deixaram suas escolas. Agora isso.
“A família está horrorizada ao saber que esta informação altamente sensível está agora disponível permanentemente na internet para os futuros amigos da criança, interesses românticos, empregadores e outros descobrirem”, disse Jeff Storms, advogado de uma das famílias. É política da AP não identificar vítimas de abuso sexual.
Os professores, por sua vez, querem saber por que precisam ligar para o distrito e relatar problemas para receber o prometido monitoramento de crédito gratuito e proteção contra roubo de identidade depois que seus números de Seguro Social vazaram.
“Tudo o que eles aprenderam sobre isso veio dos noticiários”, disse Greta Callahan, da Federação de Professores de Minneapolis.
A porta-voz das escolas de Minneapolis, Crystina Lugo-Beach, não disse quantas pessoas foram contatadas até agora ou respondeu a quaisquer outras perguntas da AP sobre o ataque.
A enfermeira escolar Angie McCracken já havia recebido no início de abril 10 alertas por meio de seu cartão de crédito de que seu número do Seguro Social e data de nascimento estavam circulando na dark web. Ela se perguntou sobre sua formatura de 18 anos. “Se a identidade deles for roubada, quão difícil isso vai tornar a vida do meu filho?”
Apesar da frustração de pais e professores, as escolas estão aconselhados rotineiramente pelas equipes de resposta a incidentes preocupado com questões de responsabilidade legal e negociações de resgate contra ser mais transparente, disse Callow da Emsisoft. Os funcionários da escola de Minneapolis aparentemente seguiram esse manual, inicialmente descrevendo o ataque de 17 de fevereiro enigmaticamente como um “incidente do sistema”, depois como “dificuldades técnicas” e depois como um “evento de criptografia”.
A extensão da violação ficou clara quando um grupo de ransomware postou um vídeo de dados roubados mais de duas semanas depois, dando ao distrito 10 dias para pagar o resgate antes de vazar os arquivos.
O distrito se recusou a pagar, seguindo o conselho permanente do FBI, que diz que os resgates encorajam os criminosos a atingir mais vítimas.
As escolas gastam orçamentos de tecnologia em ferramentas de aprendizado, não em segurança
Durante a pandemia de COVID-19, os distritos priorizaram os gastos com conectividade à Internet e aprendizado remoto. A segurança foi negligenciada, pois os departamentos de TI investiram em software para rastrear o envolvimento e o desempenho dos alunos, muitas vezes em detrimento da privacidade e da segurança, descobriram os pesquisadores da Universidade de Chicago e da Universidade de Nova York.
Em uma pesquisa de 2023, o Consortium for School Networking, uma organização sem fins lucrativos voltada para a tecnologia, descobriu que apenas 16% dos distritos tinham equipe de segurança de rede em tempo integral, com quase metade dedicando 2% ou menos de seus orçamentos de TI à segurança.
Com um déficit de talentos em segurança cibernética do setor privado, os distritos lutam para mantê-los. Os distritos que contratam alguém geralmente os veem roubados por empresas que podem dobrar seus salários, disse Keith Krueger, CEO do consórcio.
O dinheiro da segurança cibernética para escolas públicas é limitado. Do jeito que está, os distritos podem esperar apenas uma fatia do US$ 1 bilhão em subsídios de segurança cibernética que o governo federal está distribuindo ao longo de quatro anos.
O diretor de segurança da informação de Minnesota, John Israel, disse que seu estado recebeu US$ 18 milhões este ano para dividir entre 3.600 entidades diferentes, incluindo cidades e governos tribais. Os legisladores estaduais forneceram US$ 22,5 milhões adicionais em subsídios para segurança cibernética e física nas escolas.
As escolas também querem aproveitar um programa federal chamado E-Rate, projetado para melhorar as conexões de banda larga para escolas e bibliotecas. Mais de 1.100 escreveram à Federal Communications Commission após a violação do Los Angeles Unified pedindo que o E-Rate fosse modificado para liberar fundos para segurança cibernética. A FCC ainda está considerando o pedido.
Já é tarde demais para a mãe de um dos estudantes de Minneapolis cuja queixa confidencial de agressão sexual foi divulgada online. Ela quase se sente “violada novamente”.
“Todas as coisas que mantivemos em sigilo”, ela disse, “está por aí. E está lá fora há muito tempo.”