教育软件公司Instructure终于松口了。这家运营着Canvas学习管理系统的企业本周二证实,已与两次入侵其系统的黑客团伙达成协议,换取对方销毁从近9000所学校窃取的师生数据

事情要从4月29日说起。名为ShinyHunters的网络犯罪组织宣称对当天的数据泄露事件负责,声称窃取了总计2.75亿名学生和教职工的个人信息。Canvas是美国K-12学校和高校广泛使用的平台,管理着学生的课程作业、成绩和各类校园数据。

打开网易新闻 查看精彩图片

然而黑客并未就此罢手。上周,该团伙再次攻破Instructure的系统,篡改了多所学校的Canvas登录页面,以此向公司施压索要赎金。这种"双重勒索"手法在近年网络攻击中愈发常见——先偷数据,再破坏服务,最后公开羞辱受害者。

Instructure周一晚间在事件通报页面披露,作为协议的一部分,黑客已提供证据证明被盗数据已被销毁,且承诺不再向Canvas客户实施勒索。公司同时承认,与网络犯罪分子谈判"永远无法获得完全确定性",但强调客户无需再与黑客直接接触。

协议的具体金额未被披露。Instructure发言人Brian Watkins周二未回应TechCrunch的置评请求,也未就协议细节作答。不过,ShinyHunters在其泄密网站上的帖子已被撤下——该组织此前曾威胁,若公司不支付赎金就将公开数据。这一变化暗示赎金可能已支付。

ShinyHunters的一名代表向TechCrunch表示:"数据已删除,没了。该公司及其客户不会再被我们针对或联系索要款项。"

这笔交易为何达成,外界不得而知。包括美国政府在内的多国机构长期呼吁网络犯罪受害者拒付赎金,理由是这只会助长黑客的获利模式。安全研究人员也指出,恶意黑客的承诺不可信——已有案例显示,部分犯罪分子声称删除数据后仍暗中保留副本,以便继续勒索受害者。

Instructure的遭遇与PowerSchool去年的大规模泄露事件形成镜像。这家同样开发校园信息软件的公司在2024年遭遇数据泄露,7000万师生受影响。PowerSchool选择向黑客支付赎金换回数据,但后续仍有其他犯罪集团利用未销毁的数据向其客户实施勒索。

FBI上周发布声明称,已注意到美国各地学校和教育机构遭遇的系统中断事件。声明未点名Canvas,但提醒受害者"不要向犯罪分子付款"。这一警告发布的时间点,恰在Instructure与黑客达成协议之前。