【星岛综合报道】网上教育平台Canvas遭黑客组织ShinyHunters攻击,涉及全球2.75亿名用户受影响。其母公司 Instructure 已与声称对上星期大规模网路安全漏洞事件负责的骇客组织达成协议。
CBC报道,Instructure 发布声明表示:“Instructure 已与参与此次事件的未经授权的攻击者达成协议。”
作为协议的一部分,该公司表示,受影响的数据已归还,并且已收到数据销毁的数位验证(透过“销毁日志”(shred logs))。
Instructure 表示,已获得保证,其任何客户都不会“因本次事件而受到任何形式的勒索”,并明确指出“客户无需尝试与未经授权的攻击者进行任何接触”。
协议的更多细节尚未披露,包括是否涉及付款。
一个名为 ShinyHunters 的骇客组织迅速声称对上星期的网路攻击负责。该组织先前曾与 Ticketmaster 和谷歌 Salesforce 资料库的漏洞事件有关。
此次网路攻击波及全球多所大学,其中包括加拿大顶尖学府。
该组织声称已窃取 2.75 亿人的个人信息,并威胁要公开泄露被盗数据——包括姓名、电子邮件地址、学号和私人信息—— 除非支付一笔未公开的款项。
ShinyHunters 的一位代表在网路上发给路透社的讯息中表示:“数据已被删除,彻底消失。我们不会再以该公司及其客户为目标,也不会再联系他们索要钱财。”该代表拒绝回答有关该协议的具体问题。
在中小学和大学,教师使用 Canvas 与学生分享各种资料,包括课程笔记、媒体内容和考试试卷。他们也可能使用该平台进行沟通、分享成绩或其他更新讯息,而一些院校的学生也使用该平台提交作业。加拿大用户包括亚省大学、多伦多大学和卑诗大学。
康诺利(Luke Connolly)是网路安全公司Emsisoft驻渥太华的威胁情报分析师,他不建议在资料外泄后支付赎金,因为他认为这会引发连锁反应。
他表示:“这会鼓励犯罪分子继续寻找新的受害者。这些赎金实际上是在资助他们开发新的技术以攻击他人。”
以2025年初影响加拿大及海外中小学教育局的PowerSchool网路攻击为例,该组织最初向学习管理平台的母公司索取赎金,几个月后又向各教育局提出勒索要求。
总部位于弗雷德里克顿的博瑟龙安全公司 (Beauceron Security) 执行长希普利 (David Shipley) 对那些在网路安全漏洞事件后面临支付赎金这一“艰难抉择”的人们表示同情,但他强烈反对支付赎金。
希普利说,虽然 Instructure 是此次事件的受害者,但“归根结底,他们是这些数据的保管者,他们有责任保护这些数据。”
Instructure 也承认当前“令人不安的局面”仍然存在诸多不确定性,并表示保护其用户群体仍然是其首要任务。该公司称,专家正在对此资料外泄事件进行取证分析,并承诺将定期更新分析结果。
网路图片
v01
