2024 年底，美國教育科技公司 PowerSchool 面對勒索攻擊時，選擇向駭客支付贖金，以換取對方「刪除所竊資料」的承諾。但現在，證據顯示駭客根本沒有信守協議，反而轉手販售資料，對多個學區發動第二波勒索。這場交易不僅沒換來安全，反而讓學生與教職員再次曝險。

「資料已刪除」是假象！

PowerSchool 是一家美國教育科技公司，目前服務全球超過 90 個國家、15,000 多個教育機構、總數超過 5,500 萬名學生，北美市場市佔率極高，美國入學率前一百大的學區有九成以上採用其系統。他們專注於為 K-12（幼稚園至高中）學校提供基於雲端的教育管理軟體和解決方案，並積極導入 AI 技術協助學校、教師、學生與家長。

去年底他們流出的資料，不只是姓名與信箱，還包括社會安全號碼、醫療紀錄、密碼與歷史紀錄。這類敏感個資一旦外洩，風險可長達數十年。

表面上 PowerSchool 是受害者，實際上他們選擇「付錢換和平」的決策與冷處理態度，引來教育界與資安社群的強烈質疑。PowerSchool 發言人甚至告訴科技媒體《TechCrunch》，公司並不認為最近發生的是「新事件」，因為「資料樣本與 12 月被盜的資料相符」，企圖將第二波外洩事件定調為「延續性風險」，而非新的攻擊。

駭客不會刪資料，只會複製加賣

資安研究機構 Recorded Future 曾警告，歷來沒有任何證據證明駭客會履行刪除承諾。相反地，受害企業的付款往往成為駭客下一波攻擊的資本。PowerSchool 這次事件不過再次驗證，跟駭客談判換安全，是一場沒有誠信的賭局。

Recorded Future 的威脅情報分析師 Allan Liska 更直言：「駭客從未兌現過刪除承諾。」他指出，駭客會刻意製造「刪除假象」，實則將資料備份、複製，再轉售或用於下一次攻擊，讓原本的受害者變成重複收割的韭菜。

「支付贖金」變成品牌的遮羞布

不只是 PowerSchool 如此，越來越多企業選擇在第一時間看似「積極處理」，實則以付款換「品牌形象」，以此用來說服股東與用戶。但這種行銷式應對，掩蓋不了治理上的荒謬。不僅風險沒解決，信任也早已瓦解。

PowerSchool 的作法已成為失敗示範。當企業連基本的資安透明與責任制度都不願承擔，又如何保證資料不會被駭客「重複收割」？

此刻的問題已不是技術漏洞，而是領導力與決策觀的崩壞。當企業選擇向駭客下跪，本就說明其對資安治理的底線不足。何況這樣的企業，還擁有大量未成年學生的個資時，受害的從來不是系統，而是無力自保的孩子與家庭。

台灣教育體系也應引以為鑑

台灣的教育與政府單位正加速推動數位化，從學籍資料、遠距平台到家長聯絡系統，幾乎每一筆資料都與孩子直接相關。但如果資安概念還停留在「有外包、有備份就好」的思維，當風險真的來襲，根本連抵抗的能力都沒有。

真正該被寫進教育單位與供應商合約的，不只是功能表單或 KPI，還有清楚的資安責任、資料權限邊界與發生資料外洩時的應變標準流程。否則，PowerSchool 今天交出的代價，明天可能就換我們自己來付。保護個資不能靠運氣。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：【再說一次，不要付錢給駭客】教育科技公司 PowerSchool 被駭付贖金，客戶慘成韭菜被割