Congressional Inquiry 針對 Instructure 對於接連網絡安全漏洞之回應進行調查
導言
U.S. House Homeland Security Committee 要求 Instructure ( Canvas 教育平台的母公司 )提供證詞,此前兩次截然不同的網絡攻擊導致數百萬名用戶的個人數據遭到洩露。
正文
安全漏洞始於 4 月 29 日,當時名為 ShinyHunters 的威脅參與者組織利用了與 「 Free-For-Teacher 」 帳戶相關的漏洞。此次初步滲透導致用戶名稱、電子郵件地址、課程名稱及註冊數據被外洩。隨後於 5 月 7 日發生第二次漏洞,期間攻擊者篡改了登入界面,導致平台必須暫時進入維護模式。此次事件規模龐大,犯罪者聲稱目標約為 9,000 家教育機構,因此可能導致未成年人的敏感信息曝光。 Instructure 採取了與 FBI 及行業專家所倡導的既定網絡安全協議不同的做法,與 ShinyHunters 達成了一項財務協議。該公司聲稱,此次和解確保了被盜數據已被刪除,並以收到 「 shred logs 」 作為驗證。然而,包括 Troy Hunt 在內的外部分析師對此類日誌的有效性提出質疑,指出保留秘密副本是勒索軟件組織的常見做法。2024 年 PowerSchool 漏洞事件的先例進一步強化了這一質疑,當時支付贖金未能阻止隨後的敲詐企圖。 因此,House Homeland Security Committee 主席 Andrew Garbarino Representative 已啟動調查,以評估 Instructure 與 Cybersecurity and Infrastructure Security Agency ( CISA ) 協調工作的充分性。委員會的調查重點在於該公司在初步入侵後未能遏制威脅參與者,以及該供應商在事件應對能力上固有的系統性漏洞。儘管 Instructure 已禁用受影響的帳戶類型並計劃舉辦客戶網絡研討會,但其向黑客支付款項所產生的體制影響仍是關鍵爭議點。
結論
Instructure 的系統目前已恢復運行,但該公司就其數據保護失效及決定支付贖金之行為,仍處於立法機關的監督之下。