北美时间 5 月 7 日下午,全球最大学习管理系统 Canvas 遭遇严重安全事件:黑客组织 ShinyHunters 将旗下逾 9000 所院校用户的登录页面替换为勒索声明,要求 Canvas 母公司 Instructure 于 5 月 12 日前与其联系并满足赎金要求,否则将公开泄露的用户数据。声明称"ShinyHunters 已再次入侵 Instructure",并指责对方在收到威胁后仅进行了"安全补丁"修补而置之不理。Instructure 随即将 Canvas、Canvas Beta 及 Canvas Test 置于维护模式,确认此前已发生数据泄露,泄露内容涉及姓名、电子邮件、学生证号及用户站内消息,但未发现密码、出生日期、政府身份证号或财务信息被波及。Canvas 声称北美约 41% 的高校使用其平台,全球用户规模约 2.75 亿。
事件发生在北美大学期末考试周,受影响学生无法访问课程材料、作业、测验及成绩,教师亦无法录入成绩。宾夕法尼亚大学大三学生 Anish Garimidi 对 CNN 表示,在备考关键期被迫登出账户令他"极度恐慌";乔治城大学一名大二学生特地返乡备考,却在当天下午发现 Canvas 已无法访问并呈现勒索页面。印第安纳大学校方表示正持续更新进展。此次入侵也被部分法律学者视为美国《家庭教育权利与隐私法》(FERPA)有记录以来规模最大的潜在违规事件,一场数亿美元级集体诉讼的风险正在成形。
CNN | Wikipedia