最近有个挺离谱的事。教育科技公司 Instructure 被黑客组织 ShinyHunters 连续两次攻破系统,最后居然跟黑客达成了"协议"——不是报警抓人,而是谈判赎回了约 2800 万用户的泄露数据。更离谱的是,这操作直接跟 FBI 的官方建议对着干。
事情是这样的。ShinyHunters 这个月早些时候第二次入侵了 Instructure 的系统,从他们的云端学习管理平台 Canvas 里拖走了几百 GB 的数据。这个平台很多人可能没听过,但在国外教育圈几乎是标配,全球大概有 2800 万用户在用,从 K12 到大学都在跑。这次泄露的信息包括用户名、邮箱地址,还有用户的私人消息内容。
黑客那边放话了:5 月 12 号之前不联系,数据就直接公开。结果这家公司还真联系了。根据 TechCrunch 的报道,公司现在已经拿到了"数据已销毁的数字确认(粉碎日志)",以及黑客的书面保证——"不会有任何客户因此事被勒索,无论是公开还是其他方式"。数据确实还回来了,但公司没透露具体付出了什么代价,钱给没给、给了多少,一概保密。
这里有个特别讽刺的点。FBI 的勒索软件指南写得明明白白:"不支持支付赎金"。上周 FBI 还在 X 上专门发了条帖子,虽然没点名,但措辞很直接:"如果有人直接联系你声称持有你的数据,我们建议你不要付款或回应对方的要求。"
结果这家公司转头就跟黑客签了协议,还发了公告说"虽然跟网络罪犯打交道永远没法完全确定,但我们认为有必要采取一切可控措施,尽可能让客户安心"。这话翻译一下大概是:我知道 FBI 不让给,但我不给的话 2800 万用户的数据就真漏了,我只能赌一把。
ShinyHunters 这组织最近挺活跃。除了这次事件,他们还号称攻破了英伟达的 GeForce Now,声称"直接从后端拉了整个数据库"。上个月还勒索过 R 星,威胁要放 GTA 6 的东西,后来被发现其实手里没多少干货。所以这回到底付没付钱、付了多少,外界完全不知道,但黑客这次倒是履约了——数据还了,保证书也写了,至少表面上看起来比 R 星那次专业。
Instructure 说后续会开个网络研讨会,讲讲攻击细节和系统加固措施。但眼下最尴尬的问题可能是:如果其他被勒索的公司都学这招,FBI 的"不要付钱"建议还有多大说服力?毕竟 2800 万用户的数据摆在那儿,换谁当 CEO 可能都得掂量掂量。
热门跟贴