东谷理工学院 （EVIT） 是一所职业培训学校，它经历了一起网络安全事件，暴露了 208,717 人的个人数据，包括现在和以前的学生、教职员工和家长。

该违规行为发生在 2024 年 1 月 9 日，缅因州总检察长办公室于 8 月 12 日披露。

根据 EVIT 的违规通知函，它涉及近 50 种不同类别的个人身份信息 （PII）。

EVIT违规的范围和影响

EVIT于8月13日向受影响的客户发送了通知，告知他们违规行为以及可能已被泄露的数据类型。总体而言，数据泄露暴露了几种类型的敏感信息，例如：

• 生物识别数据
• 登录信息（用户名和密码）
• 支付卡类型
• 军人身份证号码

然而，学校澄清说，对于每个涉及的个人来说，“并非所有这些数据都可能受到损害”。EVIT表示，“这次攻击对（其）运营的影响有限。学校已采取措施调查该事件，保护其系统，并向“全国三大消费者报告机构和有关当局”报告违规行为。

关于EVIT违规的专家意见

行业专家已经对EVIT数据泄露的严重性进行了权衡。Sectigo 产品高级副总裁 Jason Soroko 评论道：“EVIT 违规事件中 48 种不同类别的个人身份信息 （PII） 的风险敞口异常高，即使对于重大网络安全事件也是如此。

他表示，这种情况“凸显了组织需要改善数据划分并实施更严格的控制。

Keeper Security的首席执行官兼联合创始人达伦·古乔内（Darren Guccione）回应了索罗科的分析，强调了泄露数据范围带来的风险增加。

他解释说，虽然违规行为通常涉及姓名和社会安全号码等个人身份信息，但“包含生物识别数据、登录凭据和军人身份证号码等其他敏感信息会大大提高这种违规行为的严重性。

详细了解如何保护您的数据免受网络威胁： 数据安全需要跟上日益增长的威胁

对受影响个人的建议

Guccione建议受影响的个人采取积极措施来保护他们的身份。这些包括：

1. 注册身份盗窃保护服务
2. 使用暗网扫描程序监控泄露的凭据和 PII
3. 在组织中实施零信任架构，以限制未来可能发生的违规行为的范围
4. 通过全面监控加强网络安全防御
5. 将数据收集限制在基本信息上
6. 在组织内实施严格的访问控制

EVIT数据泄露事件再次凸显了教育机构对强有力的网络安全措施的迫切需要。随着违规行为的影响越来越明显，受影响的个人和组织必须保持警惕，并采取适当措施来降低潜在风险。