AI
校园信息平台Canvas的母公司Instructure于周二表示,已与曾两度入侵其系统、窃取大量师生数据并严重扰乱众多学校正常运营的黑客"达成协议"。
出于财务动机的网络犯罪组织ShinyHunters宣称对4月29日发生的数据泄露事件负责,称其窃取了约2.75亿名师生的个人信息。该黑客组织表示,他们已成功入侵Canvas平台——目前全球约有9000所学校使用该平台管理学生数据与课程内容。
上周,黑客再度入侵Instructure,篡改了各学校网站上的Canvas登录页面,以此向该公司施压,迫使其支付赎金。
Instructure于周一深夜在其事件公告页面上表示,根据双方达成的协议,黑客已提供证据,证明被盗数据已遭销毁,且Canvas用户不会受到进一步勒索。
该公司承认,与网络犯罪分子进行谈判"永远无法做到万无一失",但同时表示,用户无需直接与黑客交涉。
协议的具体金额未予披露,Instructure也未透露向黑客支付了多少赎金。公司发言人布莱恩·沃特金斯于周二被联系时,拒绝就公司声明以外的内容作出进一步说明或回答有关协议的问题。
TechCrunch在ShinyHunters的数据泄露站点上看到一篇帖文,其中威胁称,若Instructure不支付勒索款项,将公开所窃取的数据。截至周二,该帖子已从ShinyHunters页面上删除,这表明赎金可能已经支付。
ShinyHunters的一名代表向TechCrunch表示:"数据已被删除,彻底消失了。我们不会再针对该公司及其客户,也不会再向他们索要任何款项。"
目前尚不清楚Instructure为何选择向黑客妥协付款。长期以来,包括美国在内的多国政府一再呼吁网络犯罪受害者不要向黑客支付赎金,因为这将助长网络犯罪分子从攻击行为中牟利。安全研究人员也指出,受害者不能轻信恶意黑客的承诺——部分网络犯罪分子在声称已删除数据之后,实际上仍保留着被盗数据,以便继续实施勒索。
此次Instructure遭受的黑客攻击,与2024年波及PowerSchool的大规模数据泄露事件颇为相似。PowerSchool同样是一家学校信息软件提供商,曾遭遇影响7000万名师生的数据泄露,并向黑客付款以换取数据归还,但随后其多名客户又遭另一犯罪团伙勒索,对方展示的泄露数据证明原始数据并未被销毁。
美国联邦调查局(FBI)上周发表声明称,已"注意到"全美多所学校及教育机构遭遇系统中断的情况。声明未点名Canvas,但提醒受害者"不要付款,也不要回应"网络犯罪分子的任何要求。
TechCrunch获取并查阅了部分从Instructure窃取的数据,内容包括学生姓名、个人电子邮件地址,以及师生之间的往来消息,其中涉及大量私密和个人信息。
Instructure在其官网上承认,黑客在不到一年内两度入侵公司系统,但表示这两次入侵是"独立事件",涉及的系统各不相同。
目前,Instructure表示仍在对此次数据泄露事件展开调查,并对相关调查结果进行核实。
目前尚不清楚Instructure内部由谁负责网络安全工作,也不清楚是否由公司首席执行官史蒂夫·戴利直接主管。当TechCrunch联系该公司询问戴利是否计划因数据泄露事件辞职时,Instructure方面未予回应。
Q&A
Q1:ShinyHunters黑客组织在Instructure事件中究竟窃取了哪些数据?
A:ShinyHunters声称从Instructure窃取了约2.75亿名师生的个人信息,包括学生姓名、个人电子邮件地址,以及师生之间的往来消息,其中包含大量私密和个人信息。TechCrunch已获取并核实了部分被盗数据的内容。
Q2:Instructure与黑客达成协议后,Canvas用户的数据安全有保障吗?
A:Instructure表示,黑客已提供被盗数据已销毁的证据,且Canvas用户不会遭受进一步勒索。但公司自身也承认,与网络犯罪分子谈判"永远无法做到万无一失"。安全研究人员同样警告,部分黑客曾在声称删除数据后仍继续保留并实施勒索,用户需保持警惕。
Q3:PowerSchool和Instructure数据泄露事件有什么相似之处?
A:两者均为学校信息软件提供商,均遭遇大规模数据泄露,且均选择向黑客付款。PowerSchool在付款后,其客户仍遭另一犯罪团伙勒索,对方展示的数据证明原始数据并未被销毁,这一前车之鉴令外界对Instructure此次协议的可靠性同样存疑。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。