Ransomware, attacco alle scuole americane: dati sensibili dei ragazzi nel dark web perché le scuole non pagano

I criminali del ransomware scaricano online i file privati dei bambini dopo gli attacchi alle scuole

Scuole pubbliche in America, con 36.000 studenti, sono state oggetto di attacchi informatici da parte di bande di criminali che hanno rubato e messo in rete oltre 300.000 file dopo che autorità scolastiche si erano rifiutate di pagare un riscatto di un milione di dollari.

Il caso riguarda alcune scuole del Minneapolis. I fascicoli contengono documenti riservati su aggressioni sessuali, ricoveri psichiatrici, genitori violenti, assenze ingiustificate, tentativi di suicidio. File dai quali emergono testimonianze disperate di giovani e famiglie che hanno subito una qualsiasi forma di violenza, insieme a cartelle cliniche, denunce di discriminazione, numeri di previdenza sociale e informazioni su dipendenti del distretto.

Nel distretto i criminali informatici sono stati particolarmente aggressivi e hanno condiviso i link dei dati rubati su Facebook, Twitter, Telegram e sul dark web, come spesso accade e a cui i browser standard non possono accedere. Su Vimeo, un concorrente di YouTube, alcune informazioni delicatissime sono state rimosse.

L’esperto di sicurezza informatica Ian Coldwater, il cui figlio frequenta un liceo di Minneapolis, ha sottolineato come oggi molti hanno le chiavi necessarie per entrare nei sistemi informatici delle scuole di tutto il paese trasformandole, così, in obiettivi per criminali senza scrupoli. A fronte di queste aggressioni, i distretti non sono in grado di prevenire questi attacchi a causa di bilanci a disposizione sempre più esigui.

L’Associated Press nel corso delle sue indagini giornalistiche è riuscita a contattare sei famiglie i cui giovani avevano subito violenza sessuale e la cui relativa documentazione è finita online. Alla drammaticità della criminale violazione e alle sue conseguenze, si aggiunge il fatto che nessuna di queste famiglie è stata avvertita di quanto avvenuto.

A vari mesi dall’accaduto, gli amministratori preposti a contattare le singole vittime, non l’hanno ancora fatto e, anche se non esiste una legge federale che obbliga le scuole ad informare le vittime dell’abuso online, come avviene per esempio per gli ospedali, è grave che questo non sia avvenuto considerata la sensibilità dei dati sottratti e pubblicati.

Gli insegnanti di Minneapolis, per esempio, hanno denunciato attraverso la loro Federazione di categoria di aver appreso dai notiziari i crimini informatici che li avevano colpiti col ransomware.

Non solo Minneapolis, anche altri distretti hanno subito l’attacco del ransomware e il furto dei dati, come per esempio quelli di San Diego, di Des Moines e di Tucson, in Arizona e nel distretto unificato di Los Angeles. Gli amministratori di quest’ultimo hanno reso noto solo a febbraio scorso il furto dei dati riguardanti oltre 1900 ex studenti dopo averli visti online sottolineando però come, a distanza di anni, sia complicato raggiungere le persone interessate per informarle.

Secondo gli esperti, la divulgazione pubblica di documenti che riguardano la situazione psicologica di un individuo o la pubblicazione del nome e di altri dati degli studenti che hanno subito violenza o altro, possono rivelarsi psicologicamente devastanti per le vittime che oltre all’abuso fisico, subisco anche un grave abuso sociale che, nel tempo, potrebbe ostacolare la loro vita lavorativa.

L’analista Allan Liska della società di cybersicurezza Recorded Future stima che negli USA oltre 5 milioni di studenti abbia già subito il ransomware e che il numero sia destinato a salire.

Il governo federale ha destinato alla sicurezza informatica nelle scuole pubbliche un miliardo di dollari da distribuire in quattro anni ma le scuole sottolineano l’urgenza di reperire altri fondi anche attraverso un programma federale chiamato E-Rate, progettato per migliorare le connessioni a banda larga di scuole e biblioteche.

Oltre 1100 scuole della Los Angeles Unified hanno chiesto alla Federal Communications Commission, che sta valutando la proposta, la modifica di E-Rate per permettere loro l’accesso ad altri fondi per la sicurezza informatica.

Richieste importanti e legittime ma, come ha detto una madre di Minneapolis la cui figlia ha subito violenza sessuale, è ormai troppo tardi. La rete ha violentato nuovamente la giovane, tutto è là fuori a disposizione di tutti.