【星島綜合報道】網上教育平台Canvas遭黑客組織ShinyHunters攻擊,涉及全球2.75億名用戶受影響。其母公司 Instructure 已與聲稱對上星期大規模網路安全漏洞事件負責的駭客組織達成協議。
CBC報道,Instructure 發佈聲明表示:「Instructure 已與參與此次事件的未經授權的攻擊者達成協議。」
作為協議的一部分,該公司表示,受影響的數據已歸還,並且已收到數據銷毀的數位驗證(透過「銷毀日誌」(shred logs))。
Instructure 表示,已獲得保證,其任何客戶都不會「因本次事件而受到任何形式的勒索」,並明確指出「客戶無需嘗試與未經授權的攻擊者進行任何接觸」。
協議的更多細節尚未披露,包括是否涉及付款。
一個名為 ShinyHunters 的駭客組織迅速聲稱對上星期的網路攻擊負責。該組織先前曾與 Ticketmaster 和谷歌 Salesforce 資料庫的漏洞事件有關。
此次網路攻擊波及全球多所大學,其中包括加拿大頂尖學府。
該組織聲稱已竊取 2.75 億人的個人信息,並威脅要公開泄露被盜數據——包括姓名、電子郵件地址、學號和私人信息—— 除非支付一筆未公開的款項。
ShinyHunters 的一位代表在網路上發給路透社的訊息中表示:「數據已被刪除,徹底消失。我們不會再以該公司及其客戶為目標,也不會再聯繫他們索要錢財。」該代表拒絕回答有關該協議的具體問題。
在中小學和大學,教師使用 Canvas 與學生分享各種資料,包括課程筆記、媒體內容和考試試卷。他們也可能使用該平台進行溝通、分享成績或其他更新訊息,而一些院校的學生也使用該平台提交作業。加拿大用戶包括亞省大學、多倫多大學和卑詩大學。
康諾利(Luke Connolly)是網路安全公司Emsisoft駐渥太華的威脅情報分析師,他不建議在資料外泄後支付贖金,因為他認為這會引發連鎖反應。
他表示:「這會鼓勵犯罪分子繼續尋找新的受害者。這些贖金實際上是在資助他們開發新的技術以攻擊他人。」
以2025年初影響加拿大及海外中小學教育局的PowerSchool網路攻擊為例,該組織最初向學習管理平台的母公司索取贖金,幾個月後又向各教育局提出勒索要求。
總部位於弗雷德里克頓的博瑟龍安全公司 (Beauceron Security) 執行長希普利 (David Shipley) 對那些在網路安全漏洞事件後面臨支付贖金這一「艱難抉擇」的人們表示同情,但他強烈反對支付贖金。
希普利說,雖然 Instructure 是此次事件的受害者,但「歸根結底,他們是這些數據的保管者,他們有責任保護這些數據。」
Instructure 也承認當前「令人不安的局面」仍然存在諸多不確定性,並表示保護其用戶群體仍然是其首要任務。該公司稱,專家正在對此資料外泄事件進行取證分析,並承諾將定期更新分析結果。
網路圖片
v01
