Instructure向黑客支付费用以销毁被盗学生数据
教育科技公司Instructure宣布,已与窃取3.5太字节学生及大学数据的黑客达成协议,支付费用以换取数据销毁。该公司称,已获得“数字确认”,证实数据已被删除,且受影响的学校和学生不会遭遇后续勒索。
Instructure在官网声明中强调,保护学生及教育工作人员的数据安全是其首要动机。该公司表示:“在与网络犯罪分子打交道时,永远无法完全确定,但我们认为,采取一切可控措施,为客户提供尽可能的安心是重要的。”
尽管Instructure未公开协议具体条款,但声明指出,该协议涵盖以下内容:
- 被盗数据已返还公司;
- 获得“数字确认”数据已被销毁;
- 黑客承诺不会对任何Instructure客户进行勒索;
- 所有受影响客户无需直接与黑客接触。
此举引发安全专家关注。BBC报道指出,向网络犯罪分子付款违反全球执法机构建议,可能导致更多攻击行为,且无法保证数据真实销毁。例如,此前英国国家犯罪局攻破著名勒索软件团伙LockBit时发现,即使支付赎金,黑客仍保留被盗数据用于后续出售。
Instructure的决策在教育科技领域引发广泛讨论,凸显数据安全与危机应对之间的复杂权衡。
编辑点评
此次Instructure向黑客支付费用以销毁数据的事件,凸显了在数字时代企业面对重大数据泄露时面临的两难困境。尽管执法机构普遍反对支付赎金,但企业往往迫于保护声誉、用户信任及避免二次勒索的压力而采取此类行动。该事件对全球教育科技行业具有警示意义,尤其是在高校大规模依赖在线学习平台的背景下,数据安全已成为系统性风险。
从国际视角看,该事件反映了当前网络安全治理的结构性缺陷:缺乏有效、统一的全球网络犯罪打击机制,以及企业自保与公共安全之间的张力。Instructure的做法可能被其他公司效仿,从而进一步助长黑客经济,形成恶性循环。同时,这也暴露了现有数据保护法规在应对跨境网络犯罪时的不足。
未来,各国或需加强跨国执法协作,推动建立更完善的网络犯罪追责与数据销毁验证机制。教育机构作为数据密集型单位,更应提升自身安全防护能力,减少对外部平台的过度依赖。此次事件或将成为推动教育科技行业数据安全标准升级的重要催化剂。