佛罗里达大学昨天公开承认了数据泄露,63000名在校和往届学生的社会保障号码(SSN)被非法访问。

在佛罗里达大学网站发布的一份声明中,校长约翰·希特透露,学校工作人员于2016年1月首次发现泄露事件,随后立即向执法部门报告,同时雇佣了一家数字取证公司帮助进行内部调查。

基于佛罗里达大学的内部调查,那些数据受到影响的人员主要是为大学内某些团队提供支持的学生,以及被列入其他个人服务的教员。这里面包括勤工俭学的学生、研究生助教、住房居民助理、学生会领导人以及大学教员。

泄露仅限于这两个群体，从这一事实可以推断黑客可能是寻找到了大学IT架构的弱点,从而在系统中发现与体育和OPS雇佣相关的脆弱的接入点, Clifford Neuman是南加州大学计算机系统安全中心主任，他在接受SCMagazine.com的采访时表示了质疑：“现在的问题是:为什么SSN需要存在于这些特定的系统中呢?”

纽曼猜测：“也许问题的一部分在于,这些组织使用社会保障号码作为个人在这些系统中的唯一标识，而不是使用像学生证号码这一类相对无害的东西。虽然一些勤工助学的项目可能需要在纳税申报表格上填写社会保障号码,但大学应该在更安全的后端系统中将这些敏感数据隔离。“

除了社会保障号码,被盗的信息包括姓名、学生和员工ID号码、课程学分和一些运动背景资料(如大学球员是否只是跑龙套或者已经被招募了)，而信用卡数据、金融和医疗记录和成绩似乎没有受到影响。不过,黑客可以利用社会保障号码盗用身份,或者使用其他个人信息进行鱼叉式网络钓鱼。

数据泄露预防公司IDT911的创始人及董事长亚当·莱文在发给SC杂志的一封电子邮件中说：“虽然入侵者可能没有获得财务或医疗文件,但是有一个社会保障号码在手,就可以毫无障碍地实施金融诈骗、医疗身份盗窃,或者做一些更糟糕的事。”

希特校长在声明中说： “佛罗里达大学正在优化用户账户、增强密码安全、普及校园网络信息安全教育和培训。我们也正在对在线系统和协议进行一次彻底的审查。大学也会用邮件通知那些数据可能受到影响的人。“

身份盗窃资源中心表示,在 2016年2月2日有七所教育机构报告了数据泄露,包括弗吉尼亚大学和南新罕布什尔大学。

乔治敦大学安全通信中心主任埃里克•汉堡在一封发给SCMagazine.com的电子邮件中说：“我可以说,大多数研究型大学（特别是那些有医学院的）, 比较注重网络安全，能够敏锐地意识到数据泄露的可能性，很大程度上是由于美国教育部对学生隐私问题的限制，以及在医学方面受到医疗电子责任法案的约束。”

就总招生人数而言，佛罗里达大学是美国第二大公立大学，由13个单独的学院组成，包括来自140个国家的大约60000名学生。