熟悉事件的消息人士9日透露,全球數千所學校與大學使用的雲端學習平台Canvas今年4月遭駭客入侵,大量學生資料被竊,部分受害學校與大學曾試圖直接與駭客接觸,希望阻止資料外洩。
路透報導,駭客組織ShinyHunters過去曾多次對全球大型企業發動資料竊取與勒索攻擊。該組織5月3日在網站聲稱,已取得約6.65TB的Canvas資料,涉及全球近9000所學校,內容包括學生姓名、電子郵件地址,以及學生、教師與其他教職員之間的私人訊息。
全美多家學生媒體本周報導,這起攻擊已在學期末期間造成廣泛混亂,許多學生正準備繳交作業。Canvas軟體廣泛用於課程作業管理、資訊共享,以及學生與教師之間的通訊。
ShinyHunters於5月5日再度發文,稱Canvas母公司Instructure「甚至懶得和我們對話」,以阻止資料外流,並表示他們提出的要求「沒有你想像中那麼高」。駭客還公布約1400所學校與學區名單,並邀請校方主動聯繫協商,以避免資料被公開。
Instructure於5月1日在支援網站表示,正調查一起網路安全事件。隔天由資訊安全長普勞德(Steve Proud)署名的公告指出,受影響資料包括Canvas使用者名稱、電子郵件地址、學生證號碼,以及用戶之間的訊息內容。公司在5月6日更新表示,事件已獲解決,Canvas已全面恢復運作。
5月7日,多所學校學生回報,登入Canvas時看到ShinyHunters留下的訊息與受害學校名單連結。Instructure隨後短暫關閉Canvas、Canvas Beta與Canvas Test服務,但約4小時後恢復Canvas存取。
Instructure發言人9日透過電子郵件表示,駭客「修改了部分學生與教師登入時顯示的頁面內容」。
該發言人說,駭客利用的是公司「Free-for-Teacher」服務相關漏洞。這項服務讓非Canvas用戶可試用平台部分功能。公司目前已暫時關閉該服務,並表示這讓他們「有信心恢復Canvas服務,目前系統已全面重新上線並可正常使用」。
根據Instructure支援網站,Canvas Beta與Canvas Test目前仍維持在「維護模式」。
截至5月7日,ShinyHunters已將相關訊息自網站移除,改成一段聲明稱,他們「不再評論,也沒有更多與這起全球事件有關的說明」。該組織代表則透過線上聊天拒絕回答提問。
勒索與勒索軟體組織撤下受害者資訊的原因很多,其中包括目標已付款,或雙方正進行談判。
新澤西州南橘-楓木學區(South Orange-Maplewood School District)9日向家長發出的通知指出,這起資安事件發生於4月25日,Instructure則在4月29日發現未經授權活動。
馬里蘭州蒙哥馬利郡公立學校(Montgomery County Public Schools)同一天透過電子郵件通知學生、教職員與家長,Canvas正逐步恢復服務,但基於審慎考量,在所有服務確認安全前,學區仍將持續限制部分存取。
根據Instructure官網,Canvas在幼兒園至大學階段共有約3000萬名活躍用戶。
