# 我的社会安全号码在哥伦比亚大学的数据泄露事件中被暴露——而我与这所学校毫无关联 这是一种令人沮丧且遗憾相当普遍的情况。以下是原因及应对方法： ## 为什么会发生这种情况 你的信息可能通过以下途径出现在哥伦比亚大学的系统中： - **第三方关系**：你可能使用过与哥伦比亚大学有合作的雇主、医疗机构或金融机构 - **学生贷款服务机构**：联邦学生贷款数据有时会被共享给多个机构 - **研究或临床试验**：即使是很久以前参与过的项目 - **家庭成员关联**：你的家人曾就读或受雇于该校 - **数据经纪商**：他们将数据出售给各类机构 - **历史记录**：例如申请记录，即使从未入学 ## 立即采取的措施 ### 优先级最高 - **冻结你的信用报告**，覆盖三大信用局：Equifax、Experian、TransUnion（免费且有效） - **在 annualcreditreport.com 查看你的信用报告**，确认是否有可疑账户 - **向 IdentityTheft.gov 提交举报**（美国联邦贸易委员会） ### 其次 - **申请 IRS 身份保护 PIN 码**，防止有人用你的社安号虚报税务 - **监控现有账户**，留意异常活动 - **保存哥伦比亚大学发送的所有通知**，留存记录备用 ## 关于信用冻结 信用冻结是目前**最有效的保护手段**。它不会影响你的现有账户，只是阻止他人以你的名义开设新账户。 你是否已经收到了哥伦比亚大学的官方通知？

# 我的社会安全号码在一所与我毫无关系的学校——Columbia——的数据泄露事件中被暴露 来源：https://arstechnica.com/tech-policy/2026/06/my-ssn-was-exposed-in-a-breach-at-columbia-a-school-i-have-no-connection-with/ Columbia 承认去年的数据泄露波及范围超出了其在校师生。 [](https://cdn.arstechnica.net/wp-content/uploads/2026/05/columbia-social-security.jpg) 图片来源：Aurich Lawson | Getty Images 图片来源：Aurich Lawson | Getty Images 今年二月，我爸发来一条奇怪的短信，由此引发了我长达数月的追查，试图解开一个困扰着一群特殊受害者的谜团——他们都来自 Columbia University 去年的数据泄露事件，而这群人的共同点是：与这所学校毫无关系。 短信里附了一张照片，是 Columbia 发来的一封信，通知我成为了去年六月一起数据泄露事件的受害者，此次泄露涉及大量敏感信息，包括 180 万个社会安全号码（SSN）。 Columbia [公开发布](https://www.cuit.columbia.edu/cyber-incident)的[通知](https://www.cuit.columbia.edu/content/updating-our-community-cyber-incident)对象仅限于"Columbia 社区成员"。通知中，Columbia 警告称，"未经授权的人员获取了与招生、入学及助学金流程相关的学生和申请人信息，以及部分 Columbia 员工的个人信息。"随后的主要新闻报道也只将与 Columbia 有关联的人士列为受害者，同时指出，此次泄露事件背后的黑客活动人士据[报道](https://www.bloomberg.com/news/articles/2025-08-08/columbia-hack-affected-870-000-people-included-some-health-data)是受[驱动](https://www.theverge.com/analysis/703232/columbia-hack-admissions-data-mamdani)于揭露 Columbia 以"平权行动"为基础的招生历史。 但我并不属于"Columbia 社区"。我从未申请过、就读过或就职于这所学校。寄给我的那封信——比公开通知晚了整整六个月才送达——也没有解释 Columbia 是如何获取并泄露我的 SSN 的。信中只说此次泄露影响了"与招生、入学及助学金流程相关的某些个人信息"，并建议我注册由 Columbia 委托管理受害者热线的 Kroll Monitoring 提供的免费信用监控服务。 在经历了一段与 Columbia 受害者支持服务之间令人沮丧的周折之后，一位 Columbia 官员终于向我解释清楚：数十年来的第三方数据收集，加上多次失败的数据删除举措，最终导致学校积存了大量来自非关联人员的数据。 ## 参加 SAT 考试暴露了我的 SSN？ 在我寻找答案的过程中，Kroll 的热线几乎形同虚设。热线工作人员能给我们这类受害者提供的唯一选项，就是将案件"升级处理"；如果你再打电话来，他们会再次提出"重新升级"。据说升级之后会有人回电提供更多信息。然而几周过去，毫无音讯，我便另辟蹊径，联系了 Columbia 的 IT 服务热线。 IT 服务热线立即通过电子邮件回复了我，得知他们正在"积极调查您的信息为何出现在受影响数据中，并会尽快回复您"，我一度满怀希望。他们请我耐心等待，待审查完成后会予以答复。然而一个月过去，依然音讯全无，我开始怀疑，这些支持渠道是否根本就没有答案——以及 Columbia 为何在公开通知中对非关联受害者只字不提。 四月，我联系了 Columbia 的传播办公室，希望至少能弄清楚，对我这类受害者而言，是否存在任何可以获得解答的途径。 然而传播团队的回应似乎也在刻意回避。经过数周的催促，他们只提出了一个猜测：学校可能是在 2001 年我读高中二年级参加 SAT 考试时获取了我的 SSN。他们认为这一解释有一定道理，因为被盗数据可以追溯到数十年前。当时，SSN 通常被用作学生的身份标识。我被告知，我很可能曾同意共享自己的 SSN，以便接收来自 Columbia 的招生或奖学金信息。 但我从来没有四处比较过大学，因此不可能主动共享我的个人信息。我更是从来没想过要去 Columbia。我在佛罗里达州上的高中，那里有"Bright Futures"项目，成绩优秀的学生可以获得全额学费资助。我父母从来不谈付学费的事，所以我完全不了解申请大学的流程。我喜欢省事，所以只申请了一所学校，因此也只把 SAT 成绩送给了一所学校：University of Florida。 所以我对这个说法持怀疑态度，而且我并不是唯一持有疑问的人。在社交媒体和 Reddit 上，我发现了数十条帖子，都是一些人困惑地问为什么自己收到了泄露通知。一些[用户](https://www.reddit.com/r/cybersecurity_help/comments/1q95pc9/columbia_university_data_breach/)推[断](https://www.reddit.com/r/Lawyertalk/comments/1swhr4s/columbia_university_data_hoarding/)，他们的 SSN 可能是在参加 SAT、ACT、GRE 考试时被共享的，也可能是在填写 FAFSA 等助学金申请表格时泄露的。还有一些人表示，Columbia 给了他们关于某些考试项目的模糊解释，说这些项目可能共享了他们的 SSN，而他们和我一样，都以为是管理 SAT 的 College Board 提供了这些数据。 我向 College Board 询问这一说法是否属实。一位发言人否认任何学生的 SSN 会通过名为"Student Search"的自愿参与项目被共享给 Columbia。College Board 确认，在 2018 年全面停止共享 SSN 之前，共享 SSN 的"唯一情形"是本人申请将 SAT 成绩发送至 Columbia——而这是我从未做过的事。 在经历了四个月的碰壁之后，我的挫败感与日俱增，直到我给 Columbia 发了足够多的邮件，他们终于同意告诉我真相。 ## Columbia 未能删除 SSN 数据库 Columbia 此前已因通知受害者时拖延约一周而饱受批评，毕竟每耽误一天都会增加身份盗窃的风险。但对于与学校毫无关联的受害者而言，通知来得更晚，原因正如校方所解释的，需要花更多时间找到他们的联系方式。 我不确定 Columbia 第一次试图联系我是在什么时候。那封在二月寄到我父亲地址的信——我自高中毕业后就没有住在那里——声称 Columbia "此前已就"此次泄露通知过我，然而那是我收到的第一封通知。在 Reddit 上，一些用户表示，他们也收到了寄到父母地址的通知信；另一些人则说 Columbia 找到了他们目前的地址。 在与 Ars 的交流中，一位校方官员表示，2012 年以前，Columbia 从各种渠道获取潜在学生的信息，包括社会安全号码。在那个时期，学生招募服务机构、奖学金项目和考试项目经常在学生同意的前提下将 SSN 共享给 Columbia。 这位官员表示，学生可能会同意共享自己的 SSN，以便接收来自各大学或奖学金项目的信息；或者他们可能会直接要求考试项目在发送成绩的同时一并共享其 SSN。Ars 联系了运营两大主要大学考试项目的 College Board 和 ACT，两者均确认已停止将 SSN 用作学生标识符。College Board 于 2018 年终止了这一做法，ACT 则表示大约十年前已经停止。 这位官员告诉 Ars，Columbia 于 2012 年停止将 SSN 用作学生标识符，并曾计划在泄露发生前删除此前收集的 SSN。然而尽管完成了多项移除 SSN 及其他敏感个人数据的工作，校方却无意间遗漏了一个包含我的 SSN 的遗留数据库。 我已得到 Columbia 的保证，称我的 SSN 已从其系统中删除，学校据称也加快了排查网络中其他遗留敏感数据的工作。但我怀疑学校永远无法查清我的数据的真正来源，因为那位官员也确认，某些有助于在类似情况下识别数据来源的字段已被删除。 据我目前的了解，Columbia IT 部门数月来一直在努力识别任何残留数据，以回应受害者的疑问。 本周，Columbia 将终于开始跟进那些曾联系 Kroll 或 Columbia IT 服务热线提问的受害者。Columbia 官员确认，上述两条渠道仍是非关联受害者寻求解答的推荐途径。 此外，还有一些受害者可能从未收到过通知。在 Ars 的追问下，Columbia 确认将首次公开承认这批与学校毫无关联的受害者群体，相关[博客文章](https://www.cuit.columbia.edu/content/update-2025-cyber-incident)已于周三发布。学校还向 Ars 提供了一份针对这些受害者的详细声明，内容如下： > Columbia 一直在调查一些与学校毫无已知关联的人士所提出的问题——他们的信息究竟是如何进入我们系统的。根据我们的调查，我们认为这些信息来自学生招募服务机构。这些机构在当时会向高校提供此类信息，涉及的学生曾表示愿意共享相关信息，无论是为了发送考试成绩，还是为了向特定大学、学院或奖学金项目索取进一步资料。此类调查工作十分复杂，遗憾的是需要相当时间。学校在能够确认联系方式后，便立即通知了受影响人员。我们正在逐一回复曾就收到通知而提出额外疑问的人员，包括那些与学校明显没有关联的人士。 ## Columbia 或面临集体诉讼 大约花了四个月时间，我才得知 Columbia 很可能永远无法查明它是如何获得我的 SSN 的。 目前尚不清楚有多少受害者与 Columbia 毫无关联，也不清楚有多少高校可能正在囤积 SSN 共享早期积累的大量敏感数据。Columbia 未透露受影响的非关联受害者人数，也未说明被泄露的 SSN 中有多少比例可追溯到 Columbia 社区以外的人员。当被问及估计数字时，该官员表示，"绝大多数被通知的人员与学校存在已知的关联关系"。 早在 2005 年，Ars 便发现，随着网络身份盗窃案件开始增多，社会安全局开始[呼吁](https://oig-files.ssa.gov/audits/full/A-06-05-15100.pdf)各高校停止将 SSN 用作学生标识符，并限制对该号码的收集。Columbia 的案例表明，一些高校此后数年仍未遵守这一指引。在 Reddit 上，有用户表示收到的通知显示，他们的 SSN 可能早在 1990 年代参加大学入学考试时便已被共享。 "他们拿到这些数据的时候，用的是软盘吧？"一位用户问道，"这些数据怎么可能流传到'云端'？这难道不是极度严重的疏忽吗？" 另一位用户回应道："对！我也想过这个问题！我猜我当年填 SAT 答题卡的时候填了自己的 SSN。这玩意儿到底是怎么跑进 2025 年的 Columbia 数据集里的？！！" 第三位用户疑惑地说："我 90 年代中期的数据，为什么会被上传到*任何地方*？" 许多用户在考虑是否可以加入一项拟议中的[集体诉讼](https://storage.courtlistener.com/recap/gov.uscourts.nysd.645300/gov.uscourts.nysd.645300.42.0.pdf)，该诉讼指控 Columbia "因未遵守普遍认可的安全标准，且未能发现其数据库遭到安全入侵，从而未能阻止此次数据泄露"。 Ars 未能联系到该案的首席律师，无法确认一旦集体诉讼获得认证，与学校毫无关联的受害者是否也将被纳入其中。不过，尽管具名原告均为 Columbia 社区成员，拟议中的集体诉讼定义似乎涵盖范围更广，旨在包括"所有个人可识别信息存储于被告服务器上并在本次数据泄露中遭到泄露的人员"。 Columbia 目前正就该诉讼与原告进行私下调解，其答辩截止日期为 8 月 10 日。这为庭外和解留有空间，但此类协议未必能直接解决有关 Columbia 数据留存的其他法律问题。 ## 囤积 SSN 长达 20 年"实属难辞其咎" 教育机构和教育科技公司依然是黑客的攻击热点，因为学校和相关公司不可避免地存储着大量敏感数据。 Columbia 去年的事件并非教育领域规模最大的泄露事件。非营利组织电子前哨基金会（Electronic Frontier Foundation）在其年度["Breachies"奖项](https://www.eff.org/deeplinks/2025/12/breachies-2025-worst-weirdest-most-impactful-data-breaches-year)中指出，为 K–12 教育提供软件的 PowerSchool 发生的数据泄露事件，波及超过 6000 万名学生的敏感数据；该奖项专门表彰年度最奇特、影响最深远的数据泄露事件。而尽管 Columbia 的泄露事件涉及的学生数量远少于此，该校仍然进入了 EFF 的"（不）荣誉提名"名单。批评人士抨击该校无限期保存本校员工和学生的敏感记录，而在此之前，没有人知道学校还存着更多的外部数据。 EFF 高级技术人员 Bill Budington 告诉 Ars，Columbia 在任何公开通知中均未提及部分受害者与学校毫无关联，这一点确实不同寻常。他认为，这一遗漏之所以格外引人注目，是因为 Columbia "有着一定的声誉，背负着外界赋予的某种信任"。 "它不是什么见不得人的数据掮客，"他说。 "很明显，这是不当存储的数据，时间一长，终将不可避免地成为数据泄露的对象，"Budington 说，"这是他们应当……妥善保护的东西，尤其是因为其中涉及那些根本与 Columbia 没有任何关联、从未将信任托付给 Columbia 的人。" 我问 Budington，有没有什么办法可以阻止其他高校继续将历史 SSN 数据囤积在易受攻击的在线系统中。他建议，一个更积极主动的联邦贸易委员会（FTC）或许可以将此类数据留存行为作为不公平且具有欺骗性的商业行为展开调查。 Budington 还表示，国会也可以介入，通过立法赋予数据泄露受害者私人诉权，允许受害者直接提起诉讼，而无需依赖各州法律或等待各州总检察长介入。然而，Columbia 是否会因其陈年 SSN 数据库相关的特殊失当行为而面临法律追责，目前仍不明朗。 "很显然，他们本应主动删除这些数据，"Budington 说，"而他们显然没有这样做，甚至可能根本不知道这些数据存在哪里，这表明应该有某种形式的追责。" 对于那些与 Columbia 毫无关系、却在极度延迟之后才收到泄露通知的受害者而言，拟议中的集体诉讼投诉书称，"成为欺诈受害者的风险已永久性上升"。除信用监控外，Budington 建议受害者采取额外措施保护银行账户，并锁定其他可能以 SSN 作为身份验证手段的在线账户。 "他们竟然