澳洲122家名校及机构中招！教育系统遭黑客窃取海量数据，平台疑交千万巨额赎金

一起波及全球数千所学校的大规模教育数据泄露事件出现戏剧性转折——Canvas学习平台背后的公司证实，已与窃取海量师生数据的黑客达成协议。

拥有这一广泛使用的在线教育系统的Instructure公司周三早晨披露，已与从全球数千所中小学和大学窃取师生信息的“未经授权参与者”达成协议。

此次网络攻击发生在第一学期末的最后几周，严重干扰了Canvas的正常运行。

共有8809家教育机构约3.65TB的数据遭窃，其中澳洲境内至少122家机构受到波及。

Canvas被全球数千所中小学和大学使用。

Instructure在声明中并未明确承认是否支付了赎金，仅表示被盗信息已归还，并附带了证明黑客已销毁所有剩余副本的数字化凭证。

公司首席执行官 Steve Daly 就此次泄露造成的干扰公开致歉。

他表示，公司理解这类事件可能引发的不安，保护社区始终是首要任务，正是基于这份责任感，Instructure才与涉事的“未经授权参与者”达成了协议。

该公司也承认，在与网络罪犯打交道时“从未有绝对的确定性”，但强调有必要“采取一切可控措施”来让客户更安心。

网络犯罪组织ShinyHunters与此次攻击有关，据称索要了价值约1000万美元的赎金。图片：Supplied

卷入此次泄露的澳洲机构阵容庞大，包括墨尔本大学、悉尼大学、UTS悉尼科技大学、RMIT、西悉尼大学、纽卡斯尔大学和澳洲天主教大学，以及维州和昆州政府教育厅。

Melbourne Grammar、Cranbrook School和Brisbane Grammar等知名私校也在使用该平台。

据悉，黑客获取了学生的学号、姓名、电子邮件地址以及Canvas站内私信，并以公开数据相威胁勒索赎金。

Instructure则坚称，密码、出生日期、财务信息和政府身份识别信息并未被窃取。

攻击迹象在上周开始显现，许多受影响的机构在达成协议前已陆续恢复访问。

来自Aegis Cybersecurity的网络安全顾问 Luke Irwin 向《悉尼晨锋报》透露，黑客组织ShinyHunters曾索要约1000万美元赎金，并暗示最终支付金额可能在“数百万美元的高位区间”。

该组织威胁要在网上公布被盗数据。图片：NewsWire / John Gass

前国家网络安全顾问 Alastair MacGibbon 向《悉尼晨锋报》表示，该公司的措辞强烈暗示赎金已经支付，公众有权获得更清晰的解释。

“所谓达成协议，在我看来就是指支付了赎金，”Alastair MacGibbon 表示。

他坦言并不一概反对支付赎金——如果黑客锁定的是医院系统或电力公司，或可能对人命及经济造成灾难性后果的设施，那么支付始终应作为一个潜在选项。

“但在这种情况下，大多数人都会质疑：一家机构凭什么认为这样做是合理的？”

此次攻击被认为是教育领域有记录以来最大的泄露事件之一。图片：NewsWire

此次泄露还在美国引发了法律风暴，事件发生后已有至少18起针对该公司的诉讼相继提起。

该事件被认为是教育领域有史以来规模最大的数据泄露之一，再次引发外界对依赖海外技术供应商存储数百万学生敏感信息的深切担忧。