哥大180万社安号泄露：比被黑更麻烦的是旧数据没删干净

一个从未申请、就读或任职哥伦比亚大学的人，收到了一封来自哥大的通知信：他的社安号等信息，在2025年6月的数据泄露中受影响。

这件事最反常的地方不在“高校又被黑了”。而是一个更难回答的问题：一个人从未把信任交给这所学校，为什么最敏感的身份信息会躺在它的数据库里？

哥大现在承认，泄露涉及180万条社安号。绝大多数通知对象与学校有已知关联，但也有一部分人，学校找不到明确关系。

我更在意的是后半句。

为什么无关联者也会收到哥大通知

Ars Technica原文作者称，自己没有申请过哥大，也没有在哥大学习或工作，却在2026年2月收到通知。信里说，其社安号等信息受2025年6月入侵影响。

这封信没有讲清数据来源。它只泛称相关数据涉及招生、入学和助学金流程。

哥大此前的公开通知，主要面向“哥大社区”成员，包括学生、申请者和部分员工。后来学校才承认，还有一些“与大学没有已知关联”的受影响者。

这里要克制一点。不能直接说College Board或ACT一定把这位作者的社安号给了哥大。

College Board回应称，如果学生没有要求把SAT成绩送交哥大，它不会通过Student Search向哥大共享社安号；它也称2018年已经停止共享社安号。ACT则称大约十年前停止相关做法。

目前能确认的是三件事：

这张表说明的不是“谁一定有错”。它说明的是，数据链条一旦跨过多年、多个系统和多个第三方，责任会变得模糊，风险却不会消失。

旧招生数据，才是高校安全账本上的旧债

哥大称，2012年前，社安号曾被广泛用作学生识别信息。后来学校停用这一做法，并推进删除社安号和其他敏感个人数据。

问题出在执行上：一个含有旧社安号的遗留数据库被遗漏。

更麻烦的是，部分可追溯字段已经被删除。也就是说，哥大可能知道“这条数据在我这里”，却无法向部分受害者讲清“它当初为什么会进来”。

这比普通泄露更刺痛人。

普通高校泄露，受害者至少能理解一层关系：我申请过、上过学、拿过奖学金、做过员工。但无关联者收到通知时，连这层心理账都对不上。

这也是教育机构的老问题。高校不是数据经纪商，却长期处在一个很特殊的位置：它们被默认可信，能接触申请、考试、助学金、雇佣等高敏数据；但旧系统迁移时，“还能不能继续留”常常不是硬约束。

横向对比，2025年教育软件商PowerSchool泄露事件影响超过6000万名学生，规模远大于哥大。哥大事件的重点不在规模，而在边界：有些人可能从未主动接触这所学校，却被卷进了它的历史数据池。

美国社会保障署早在2005年前后就敦促大学减少使用社安号作为学生标识。哥大到2012年才停止相关做法。这个时间差说明，行业惯性不是小问题。

隐私读者和高校安全团队该怎么处理

这件事对两类人最直接。

对关注数据泄露和隐私治理的读者，重点不是等学校把故事讲完整。现实动作更简单：收到通知后，先保存原信和沟通记录；启用信用监控；必要时在Equifax、Experian、TransUnion三大信用机构冻结信用报告。

信用冻结不是万能药。它不能删除已经泄露的数据，也不能阻止所有身份滥用。但它能提高别人冒名开新账户的成本。对社安号泄露来说，这是少数能立即做的动作。

对高校信息安全团队，重点也不是只查正在跑的核心系统。更该查那些平时没人碰、但还连着历史数据的角落：旧招生库、旧奖学金系统、考试项目导入表、第三方接口留存表、历史备份和迁移中间库。

真正该延后的，不是安全整改本身，而是那些没有数据盘点的系统迁移、供应商续约和新项目接入。没有搞清旧数据在哪，就继续叠新系统，只是在扩大爆炸半径。

哥大还面临拟议集体诉讼。诉状指控学校未能遵守通行安全标准，也未能及时发现数据库遭入侵。

但诉讼边界还没完全清楚。原文称，具名原告来自哥大社区；拟议集体范围写得更宽，可能覆盖所有个人身份信息由哥大维护并在泄露中受损的人。无关联受害者是否会被纳入，目前尚未确认。

接下来最该看三件事：

这起事件最该被记住的，不是180万这个数字。数字会被下一次更大的泄露盖过去。

更该被记住的是那封寄给“无关联者”的通知信。它把一个老问题摊开了：机构收集数据很容易，解释数据从哪来、为什么还在、该不该删，难得多。