Instructure 在 Canvas 全球數據洩漏後與 ShinyHunters 達成和解
導言
Canvas 學習管理系統的開發商 Instructure 已與網絡犯罪組織 ShinyHunters 達成協議,以防止影響全球數千間教育機構的被盜數據外洩。
正文
此次事件始於 4 月 29 日,當時 ShinyHunters 利用與 「Free for Teacher」 帳戶相關的漏洞入侵系統。此次洩漏導致約 2.75 億名分布於 United States 、 Canada 、 Australia 、 United Kingdom 及 Hong Kong 共 9,000 間機構的人員數據被非法獲取。受影響的資訊包括學生與教職員姓名、電子郵件地址、入學詳情以及平台內部通訊記錄。由於平台暫時無法使用,導致包括 University of Toronto 及 University of Illinois 在內的多所大學期末考試及學術工作流程受到嚴重影響。 面對對方威脅將公布 3.5 至 6.65 terabytes 的數據,Instructure 與該非法行為者達成和解。雖然公司未明確確認是否轉移資金,但數據已從黑客的洩漏網站移除,且對方提供了作為銷毀證明之數位 「shred logs」,強烈暗示雙方達成了財務上的妥協。此舉與 FBI 等執法機構的既有指引相悖,後者建議不要支付贖金,因為無法保證數據會被刪除,且可能激勵後續攻擊。 洩漏事件後,機構與監管部門的審查力度增加。U. S. House Homeland Security Committee 已要求 CEO Steve Daly 就公司與 CISA 及聯邦執法部門協調工作的充分性提交正式簡報。此外,該事件促使專業供應商進行法證審查,以強化系統基礎設施。在 Hong Kong ,當局警告洩漏的數據可能會助長針對 72,000 名受影響人士的複雜 phishing 攻擊。
結論
Instructure 已恢復 Canvas 的運作,並聲稱數據已獲歸還並被銷毀,儘管公司承認在該類協議中無法達到絕對的確定性。