据多家美国媒体报道,本周四全美多所大中小学的期末考试因在线学习平台Canvas服务中断而陷入混乱。正值期末考核的关键节点,平台瘫痪导致大量学生无法正常访问课程资源或提交试卷。Canvas的母公司Instructure随后确认,此次宕机是由网络攻击引发的。
应急响应与平台恢复
Instructure在周四监测到其网络中存在未授权活动后,选择将Canvas平台临时下线。在网络安全领域,这种切断网络连接的做法属于典型的隔离遏制策略,目的是阻断攻击者的访问路径,防止数据继续外泄或恶意软件在内网蔓延。这种硬性隔离的代价显而易见,它直接导致了依赖该平台进行日常教学和考试的数千所学校停摆。数据显示,截至周五上午,平台服务已重新上线。
威胁行为者的身份与数据规模
根据Instructure的声明,此次实施攻击的威胁行为者,与一周前该公司披露的数据泄露事件属于同一组织。一个名为ShinyHunters的勒索软件组织随后在地下数据泄露站点宣称对此次攻击负责。该组织声称,他们获取的数据涉及8800所学校的2.75亿相关人员。需要指出的是,攻击者声称的数据规模往往存在夸大成分以增加勒索筹码,但即便实际受影响人数低于这一数字,其波及范围依然相当广泛。
勒索软件的运作模式通常分为两种:一是加密受害者系统索要解密赎金,二是单纯窃取数据并以公开泄露为要挟。从目前的情况看,ShinyHunters此次采取的是后者,即双重勒索中的数据窃取部分。
泄露信息的具体风险
关于泄露数据的类型,Instructure给出了明确的界定。被访问的信息包括用户名、电子邮件地址、学生ID号以及用户在平台上交换的消息记录。公司强调,目前没有迹象表明密码、出生日期、政府身份标识或财务信息被卷入其中。
从技术角度分析,虽然核心的财务和密码数据未泄露,但现有信息的组合依然具备较高的安全风险。学生ID与机构邮箱的对应关系,加上平台内的消息记录,为精准的钓鱼攻击提供了素材。攻击者可以利用这些真实的学术背景信息,伪造来自学校教务处或辅导员的邮件,诱导学生点击恶意链接或提供凭证。这种基于上下文的社会工程学邮件,其欺骗性远高于普通的垃圾邮件。
潜伏与二次发难
回顾整个事件的时间线,Instructure在首次披露数据泄露仅一周后,再次遭遇同一组织的攻击,这说明攻击者在首次入侵后很可能在系统中保留了后门账户或持久化访问机制。当企业未能彻底清理入侵痕迹时,攻击者卷土重来是常见现象。周四的攻击迫使Instructure采取断网措施,也印证了其内网防御在首次事件后并未完全收敛威胁。
目前,各受影响学校正紧急调整期末考试安排,以应对Canvas平台宕机带来的后续影响。