北京
教育科技领域最近上演了一出尴尬戏码。运营Canvas学习管理平台的Instructure公司,上周系统被黑后,如今公开宣布已与入侵者"达成协议",确保被盗数据不会外泄。翻译成人话:他们大概率掏了赎金。
事情要从黑客组织ShinyHunters说起。这个团伙在攻击发生后主动认领,威胁称若不满足其"和解"要求,就将3.5TB学生数据公之于众。Canvas一度被迫下线。现在Instructure的声明显示,作为"协议"的一部分,被盗数据已被"归还",同时承诺"不会有任何Instructure客户因此事遭到勒索"。
公司措辞相当谨慎,绝口不提"付款"二字,只强调"与未授权行为者达成协议"。但明眼人都看得出这是什么意思。Instructure声称已收到数据被销毁的证明——不过这里有个逻辑漏洞:既然数据被销毁了,又是如何"归还"的?
这笔交易的隐患不止于此。赎金支付往往变相资助更多勒索攻击,而且黑客的口头承诺值几个钱?Instructure自己也承认"与网络犯罪分子打交道永远不可能有十足把握",但辩称"采取一切可控措施让客户安心至关重要"。
目前Canvas大部分系统已恢复运行。公司计划通过明日的一场网络研讨会披露更多攻击细节。上周的初步调查显示,黑客利用了"Free-For-Teacher"免费教师账户入侵系统,该功能随后被紧急关闭,恢复时间尚未公布。
这起事件给教育科技行业敲响警钟:当3.5TB学生数据成为谈判筹码,平台方的"可控措施"究竟能有多大效力?Instructure一边支付赎金、一边强调"保护社区是首要责任"的姿态,恐怕难以让所有人信服。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
