涉及加拿大多所大學的在線教學平台Canvas數據泄露案有最近進展:運營方、美國教育科技公司Instructure證實,他們已經與發動攻擊的黑客達成協議,並取得對方“刪除數據”的確認。
雖然官方並未承認支付贖金,但由於公司公開表示已與黑客“達成協議”,外界普遍猜測,這起事件很可能涉及秘密付款。
據本地英文媒體Global News報道:Canvas平台是北美高校最常使用的在線學習系統之一,承擔課程資料發布、作業提交、評分以及師生溝通等關鍵功能。當平台系統遭攻擊,大量學生和教師的個人信息、課程數據甚至內部通訊,都可能面臨泄露風險。
此次安全漏洞影響範圍極廣,包括U of T、UBC以及U of Alberta等加拿大知名大學均受到波及。
負責此次攻擊的黑客組織ShinyHunters聲稱,他們竊取了全球近9000所學校、約2.75億人的數據,涉及學生、教師以及學校工作人員。
在周一(5月11日)發布的聲明中,Instructure表示:“我們已經與此次事件中的未授權行為者達成協議。”
公司進一步稱,已經收到黑客提供的“數據銷毀數字證明”(shred logs),並被告知不會有客戶因此遭到勒索。
不過,公司始終沒有說明協議內容,也未回應是否支付贖金。
在網絡安全領域,企業與黑客“達成協議”通常被視為支付贖金的委婉說法,因此這一表態迅速引發外界質疑。
事件曝光後,加拿大多所大學緊急採取防範措施。
U of T上周五一度關閉其教學平台Quercus,並警告師生不要訪問Canvas。
University of Alberta則表示,有用戶登錄Canvas時發現異常信息,校方隨後緊急關閉平台,並要求用戶暫時不要登錄。
與此同時,UBC也向學生發出通知,要求已登錄Canvas的用戶立即退出,並儘快修改密碼。
此外,Simon Fraser University、Mohawk College以及OCAD University等多所院校,也確認系統運行受到影響。
近年來,針對學校、醫院和政府機構的勒索軟件攻擊在北美持續增加。由於大學擁有大量個人數據、研究資料以及複雜網絡系統,高校逐漸成為黑客重點攻擊目標。
此次Canvas事件最令人擔憂的,並不僅僅是系統中斷,而是全球數億用戶數據是否已經被複製、出售,甚至流入暗網。
儘管Instructure強調黑客已經“刪除數據”,但網絡安全專家普遍認為,一旦數據被盜,外界實際上很難獨立驗證黑客是否真的徹底銷毀了所有副本。
