美国众议院要求Instructure就Canvas数据泄露事件作证
美国众议院国土安全委员会已致函教育科技公司Instructure首席执行官史蒂夫·戴利,要求其就公司旗下Canvas学习管理系统连续遭遇黑客攻击一事作证。此次事件导致全球数百万学生个人信息被窃取,引发美国国会高度关注。
委员会主席安德鲁·加巴里诺在致函中表示,委员会将调查黑客如何多次入侵Instructure系统、窃取何种类型数据,以及公司如何应对攻击并通知受影响学校。同时,委员会希望审查Instructure与美国网络安全与基础设施安全局(CISA)的协调机制是否充分。
Instructure公司承认,黑客利用同一漏洞实施了两次攻击,不仅窃取大量敏感学生数据,还篡改了部分学校登录页面。公司本周确认已与黑客达成协议,并称黑客提供了数据已被删除的证据。然而,黑客组织ShinyHunters代表向TechCrunch表示,他们将不再勒索该公司及其客户,但拒绝透露赎金数额。
安全专家指出,向黑客支付赎金可能助长未来攻击行为,且黑客常保留数据以进行二次勒索。加巴里诺强调,此次事件规模庞大、时间紧迫,且Instructure作为大型教育科技供应商未能有效遏制攻击者,暴露出系统性安全漏洞,属于委员会必须审查的范畴。
截至目前,Instructure尚未回应是否将派代表出席听证会。公司发言人布莱恩·沃特金斯未就TechCrunch的采访请求作出回应。
编辑点评
此次Instructure数据泄露事件凸显了全球教育科技领域在网络安全方面的系统性风险。作为全球广泛使用的在线学习平台,Canvas涉及数千万学生与教育机构,其安全漏洞直接影响教育系统的稳定性与个人隐私安全。美国国会介入调查,反映出政府对关键基础设施网络安全的高度重视,尤其在当前网络攻击日益频繁、勒索软件威胁加剧的背景下,对私营科技企业的监管正在加强。
更深层来看,事件暴露了企业面对网络攻击时的应对困境:支付赎金虽可短期止损,却可能助长犯罪生态;而依赖黑客“承诺删除数据”缺乏法律与技术保障。这促使各国政府重新评估现有网络安全法规,可能推动更严格的合规标准和强制性报告制度。长期而言,教育科技企业需提升安全投入与应急响应能力,否则将面临更大监管与声誉风险。
此次事件的国际影响在于,其不仅涉及美国国内政策,更可能影响全球教育机构对类似平台的信任度,进而推动跨国数据保护合作。若处理不当,或引发多国对跨境教育科技产品实施更严审查,重塑全球数字教育生态格局。