为什么偏偏选在期末?美国高校最依赖的学习管理系统Canvas,在5月7日突然陷入瘫痪。登录页面跳出的不是课程表,而是一封勒索信——犯罪集团ShinyHunters声称手握约9000所教育机构的2.75亿人数据,限期付款,否则全部公开。
Canvas是什么?简单说,它是美国大中小学的「数字校园」。学生交作业、查成绩、参加考试;老师上传课件、批改、发通知——全在这个平台上。它停了,不是「网站打不开」的小事,是整个教学秩序直接停摆。
运营方Instructure的应对时间线值得复盘。4月29日,公司检测到异常访问,启动调查。5月2日,对外宣称「问题已控制,服务正常」。5月7日,ShinyHunters的勒索信息却直接出现在用户登录页。Instructure这才紧急将Canvas切至维护模式,全美学校瞬间断线。
攻击者玩得很大。ShinyHunters不仅向Instructure索要赎金,还绕过平台直接联系受影响学校:「想避免数据公开?单独来谈。」最初期限是5月6日,后延至5月12日。他们宣称的数据规模——9000校、2.75亿人——目前尚未经独立核实,但恐慌已经蔓延。
技术根因指向一个被忽视的入口:「Free for Teacher」。这是Instructure给教育者提供的免费试用环境,支持工单系统存在漏洞。Instructure确认,4月29日与5月7日两次入侵均与此相关。补救措施包括:暂停该账户类型、作废权限凭证、轮换内部密钥、限制令牌创建路径,并引入CrowdStrike做取证,同步通报FBI与CISA。
但沟通策略招致批评。安全媒体KrebsOnSecurity指出,Canvas在显示攻击者信息后,曾将门户标注为「计划维护」。云安全公司Cloudskope的迪潘·曼质疑:5月2日说「已控制」,5月7日又被突破,时间线如何自洽?Instructure在5月9日的更新中道歉,承认「未能提供更一致的沟通」,并承诺设专门页面同步确认信息。
ShinyHunters并非无名之辈。该团伙惯用语音钓鱼、社会工程学伪装IT人员渗透企业,此前曾宣称攻击ADT、Medtronic、Rockstar Games、McGraw Hill、7-Eleven、Carnival等。Mandiant Consulting的查尔斯·卡玛卡尔表示,ShinyHunters当前正同时推进多起入侵勒索行动。
截至5月9日,Canvas宣布完全恢复。但数据泄露的具体范围、涉及哪些客户,Instructure称仍需数周调查。官方建议用户:留意学校正式通知,警惕借此事发起的钓鱼邮件、短信和伪造登录页。
事件留下一个尖锐问题:教育基础设施的安全投入,是否匹配其社会权重?期末周断网,影响的不仅是分数,是数百万学生的升学、毕业、奖学金——这些无法「维护」回来。
热门跟贴