Instructure 在 Canvas 全球數據洩漏事件後與 ShinyHunters 達成和解
導言
Canvas 學習管理系統的營運商 Instructure 已與網絡犯罪組織 ShinyHunters 達成協議,以解決一宗影響全球 9,000 間教育機構、約 2.75 億名用戶的大規模數據外洩事件。
正文
此次安全漏洞始於 4 月 29 日偵測到的未經授權活動,隨後於 5 月 7 日發生第二次入侵。被識別為 ShinyHunters 的威脅參與者利用了 「Free-for-Teacher」 計劃中的漏洞,該漏洞允許在無需機構驗證的情況下創建帳戶。此次洩漏導致約 3.5 至 3.65 terabytes 的數據外洩,其中包括用戶名、電子郵件地址、入學詳情及私人通訊。Instructure 則維持指稱,密碼及財務識別碼等敏感憑據依然安全。 相關持份者的立場顯示,在處理此次危機的方案上存在顯著分歧。Instructure 報告稱,該協議確保了被盜數據的歸還,並提供了作為數據銷毀數位驗證的 「shred logs」。然而,網絡安全分析師與前政府官員指出,「達成協議」一詞僅是支付贖金的委婉說法,估計金額高達數百萬 US dollars。專家認為,與網絡犯罪分子採取此類妥協做法適得其反,並斷言這可能使該組織被列為未來勒索的首選目標,即所謂的 「sucker list」 現象。 機構及法律層面的影響迅速顯現。US House Committee on Homeland Security 已要求 Instructure 的領導層提交正式簡報,Chairman Andrew Garbinbo 質詢該公司的事件應對能力。與此同時,母公司 KKR 正於 US federal court 面對多宗集體訴訟,指控其在平台保護方面存在系統性失效。在 Australia,政府機構重申反對支付贖金,理由是數據恢復缺乏保障,且可能強化犯罪商業模式。
結論
Canvas 已恢復全面運作,惟在監管及法律調查持續期間,用戶仍被提醒應警惕增加的 phishing 風險。