Instructure与黑客达成协议 两次数据泄露事件引发教育系统安全担忧
教育科技公司Instructure于周二宣布,已与黑客团伙ShinyHunters“达成协议”,后者在不到一年内两次入侵其系统,窃取涉及2.75亿学生和教职员工的个人数据,并对使用其Canvas平台的近9,000所学校造成干扰。
ShinyHunters于4月29日声称窃取了包括姓名、个人邮箱、师生私密通信在内的大量敏感信息。上周,黑客再次发动攻击,篡改Canvas登录页面,以施压公司支付赎金。
Instructure在事件页面上表示,根据协议,黑客已提供证据证明被盗数据已被销毁,且不会继续对客户进行勒索。公司承认与网络犯罪分子谈判“无法完全保证结果”,但强调客户不应直接与黑客接触。
财务细节未公开,公司发言人Brian Watkins未回应置评请求。黑客在泄露网站上曾威胁公布数据,但截至周二,该页面内容已被移除,可能表明赎金已支付。
ShinyHunters代表向TechCrunch表示:“数据已删除,消失。公司及其客户将不再被我们针对或勒索。”
此举与美国政府长期建议相悖,后者通常劝告机构不要支付赎金,以免助长犯罪。安全研究人员指出,黑客声称销毁数据不可信,部分犯罪团伙曾保留数据以持续勒索。
此次事件与2024年PowerSchool遭大规模数据泄露案类似。后者影响7,000万用户,虽支付赎金,但部分客户后续仍被另一犯罪团伙勒索,因数据未被彻底销毁。
美国联邦调查局(FBI)上周发布声明,表示已知晓针对美国教育机构的系统破坏事件,但未点名Canvas,仅提醒受害者“不要支付或回应”黑客要求。
泄露数据包括学生姓名、个人邮箱及师生私密交流内容。Instructure称两次入侵为“独立事件”,涉及不同系统,目前仍在调查中。
公司未公开负责网络安全的具体人员,首席执行官Steve Daly是否将因此事件辞职亦未说明。
编辑点评
此次Instructure数据泄露事件凸显全球教育系统在数字化进程中的脆弱性。作为连接数万所学校的教育平台,Canvas的两次安全漏洞不仅暴露了企业网络安全治理的不足,更对全球教育数据隐私构成系统性威胁。黑客团伙ShinyHunters的双重攻击策略体现出网络犯罪日益专业化和组织化的特点,其通过数据威胁与系统破坏相结合的方式施压,迫使企业妥协,进一步加剧了企业支付赎金的道德困境。
从国际角度看,该事件反映出教育科技领域成为网络犯罪新目标。与2024年PowerSchool案类似,即使企业支付赎金,数据仍可能被二次利用,说明现有“支付即安全”的模式存在重大缺陷。美国FBI虽已介入,但未明确点名,显示政府在应对此类事件时仍存在信息透明度与行动协调性的局限。
长期来看,此类事件将推动全球对教育数据安全法规的重新审视,可能促使各国加强教育科技供应商的合规审查,甚至推动建立全球性教育数据保护标准。同时,企业需重新评估网络安全治理架构,避免将安全责任过度集中于CEO,而应设立独立的安全部门并引入第三方审计机制。