黑客归还数据！Instructure疑付赎金换回学生信息，澳洲多所知名大学受影响！

一场大规模的全球教育数据泄露事件出现戏剧性转折：Canvas学习平台的母公司证实，已与黑客达成协议。

拥有广泛使用的在线教育系统的Instructure公司于周三凌晨透露，已“与未授权行为者达成协议”。该黑客从全球数千所中小学和大学窃取了大量学生和教职员工信息。此次网络攻击在学期最后几周扰乱了Canvas，导致来自8809所教育机构（包括澳大利亚至少122所）约3.65 TB数据被盗。

在一份声明中，该公司没有确认是否支付了赎金，但表示被盗信息已被归还，同时黑客还提供了数字证明，证明其已销毁所有剩余副本。Instructure首席执行官Steve Daly对此次泄露造成的 disruption 表示歉意。“我们理解这种情况可能令人不安，保护我们的社区仍然是我们的首要任务，”Daly先生说。“考虑到这一责任，Instructure与事件中涉及的未授权行为者达成了协议。”

该公司承认，与网络犯罪分子打交道“永远没有完全的确定性”，但表示有必要“采取一切可控措施”，为客户提供额外的安心。

卷入此次泄露的澳大利亚机构包括墨尔本大学（University of Melbourne）、悉尼大学（University of Sydney）、悉尼科技大学（University of Technology Sydney）、RMIT、西悉尼大学（Western Sydney University）、纽卡斯尔大学（University of Newcastle）和澳大利亚天主教大学（Australian Catholic University），以及维多利亚州和昆士兰州的教育部门。私立学校如墨尔本文法学校（Melbourne Grammar）、克兰布鲁克学校（Cranbrook School）和布里斯班文法学校（Brisbane Grammar）也使用该平台。

黑客访问了学生ID号、姓名、电子邮件地址和私人Canvas消息，并威胁除非机构支付赎金，否则将公开数据。Instructure坚称密码、出生日期、财务详细信息和政府标识符未被窃取。

该攻击于上周显现，许多受影响机构在协议达成前已恢复访问。来自Aegis Cybersecurity的网络安全顾问Luke Irwin告诉《悉尼先驱晨报》，黑客组织ShinyHunters要求约1000万美元，暗示任何付款可能“在数百万美元的高个位数区间”。

前国家网络安全顾问Alastair MacGibbon告诉《悉尼先驱晨报》，该公司的措辞强烈暗示已支付赎金，需要更清晰的解释。“‘达成协议’，我建议，是‘已付款’的暗语，”MacGibbon先生说。“我并不反对在某些情况下付款。如果有人锁定了医院系统、电力公司或会对人的生命或经济生存造成灾难性后果的系统，那么付款必须始终是一个潜在选项。但在这种情况下，大多数人会质疑一个组织如何认为这是合理的。”

此次泄露事件还在美国引发了法律行动，自事件发生以来，至少有18起针对该公司的诉讼。据信，这是有记录以来教育部门最大规模的数据泄露事件，并再次引发了人们对依赖海外技术提供商存储数百万学生敏感信息的担忧。

原文链接: 点击进入