详细内容或原文请订阅后点击阅览
Instruct 表示,在与黑客达成协议后,被盗的 Canvas 数据已“归还”
Instruct 表示,影响数百万学生和教职员工的被盗 Canvas 数据已“归还”。违规行为并非如此。
来源:Malwarebytes Labs 博客最近主导网络安全报道的 Instruct/Canvas 数据泄露已经达到了一个新阶段。
数以百万计的学生的个人数据被盗,勒索组织 ShinyHunters 声称对数据泄露负责,并通过直接骚扰 Canvas 用户对他们的赎金要求施加额外压力。
这似乎得到了回报。在 Instruct 网页上有关最近数据泄露的信息中,日期为 26 年 5 月 11 日的状态更新显示:
“我们知道,对与此事件相关的数据可能被公开的担忧仍然是许多客户最关心的问题。我们了解这样的情况可能会令人不安,保护我们的社区仍然是我们的首要任务。
考虑到这一责任,Instruct 与参与本次事件的未经授权的行为者达成了协议。”
这意味着 Instruct 已向 ShinyHunters 支付费用。至少其中一部分资金几乎肯定会用于资助未来的网络犯罪行动。公司是否应该支付勒索软件或勒索要求仍然是一个有争议的争论,我不想在这里重新引发这个争论。
我不明白的是更新中的下一个短语:
“数据已返回给我们。”
虽然这听起来可能让人放心,但在网络安全中,数据不是借来的笔记本电脑或放错地方的文件夹。一旦复制,就可以再次复制。
这很重要,因为该事件不仅仅是临时访问问题。 Instruct 表示,未经授权的访问涉及用户名、电子邮件地址、课程名称、注册信息和消息。
数据不能简单地“返回”
好消息是 Instruct 表示不涉及密码、出生日期、政府标识符或财务信息。但在头条新闻消失很久之后,姓名、电子邮件地址、课程详细信息和私人消息仍然足以助长高度针对性的网络钓鱼和社会工程。
对于学生和家庭,我们原始博客中的实用建议仍然适用: