教育科技公司Instructure与黑客组织ShinyHunters达成协议避免数据泄露
教育科技公司Instructure于5月12日宣布,已与黑客组织ShinyHunters达成协议,防止其在近期数据泄露事件中窃取的用户数据被公开。
根据Instructure首席执行官史蒂夫·戴利(Steve Daly)的声明,ShinyHunters同意不发布所窃数据,也不对任何Canvas用户进行勒索。此次协议覆盖所有受影响的Instructure客户。
Instructure此前遭遇两次网络攻击。4月30日,ShinyHunters声称窃取了2.75亿Canvas用户数据,涉及全球近9000所学校的师生及员工,数据包括用户名、电子邮件地址、学生ID及平台内私信内容,部分用户为未成年人。上周,黑客利用平台“免费教师账户”漏洞,篡改多所学校Canvas登录页面。
攻击导致Canvas系统多次中断,恰逢多校期末考试周,部分学校被迫调整考试安排。黑客曾威胁,若Instructure未在5月12日前“协商和解”并支付赎金,将公开数据。
Instructure表示,协议要求黑客归还数据,并已收到“数据销毁”的数字确认文件(即粉碎日志)。公司同时确认,黑客承诺不会对个人用户进行勒索。
Instructure未透露是否支付赎金或具体金额。戴利称,尽管与网络犯罪分子交易存在不确定性,但采取此措施是为了最大限度保障用户安心。公司正与专业供应商合作进行法医分析、系统加固及数据审查,并将持续发布进展。
受影响用户可访问Instructure事件响应页面获取最新信息。
编辑点评
此次Instructure与黑客组织ShinyHunters的协议,凸显了全球教育科技领域面临的严峻网络安全挑战。教育系统作为数据密集型平台,存储大量敏感个人信息,成为网络攻击的高价值目标。此次事件影响范围广泛,涉及近9000所学校及2.75亿用户,且发生于期末考试关键时期,暴露了教育科技服务的脆弱性及对教学秩序的潜在冲击。
从国际视角看,黑客组织通过勒索与数据威胁获取利益的模式日益成熟,而企业在面对此类攻击时,往往陷入“支付赎金以避免更大损失”的两难境地。Instructure选择与黑客达成协议,虽能暂时缓解危机,但可能助长类似攻击行为的蔓延,形成“支付即安全”的负面激励。
此外,数据泄露事件对全球教育数字化进程构成警示。各国教育机构对在线学习平台的依赖度持续上升,但其网络安全投入与防御能力尚未同步提升。未来,教育科技企业需在系统架构、数据加密、身份认证及应急响应机制上全面升级,同时推动建立国际性数据安全合作框架,以降低全球教育系统整体风险。
此事件也促使监管机构重新审视对教育数据的保护标准,可能推动更严格的数据保护立法,特别是在涉及未成年人信息的领域。