前情回顾·教育行业网络威胁态势
安全内参5月8日综合消息,数千所美国学校和大学使用的学习管理系统Canvas登录页被篡改为数据勒索信息后紧急下线。正值学生备考期末,课堂与作业安排被打断,这次中断在校园内引发混乱,也再次凸显教育体系对技术平台的依赖。
据悉,Canvas母公司、美国教育技术巨头Instructure近期发生重大网络安全事件,数天之内疑似屡次遭遇网络入侵,攻击者声称窃取了2.8亿条学生和教职员工相关的记录,后又篡改Canvas平台登录页面内容,以实施数据勒索威胁。而Instructure内部安全响应不力、应对迟缓,进一步放大了事件影响。
Instructure是一家云端教育科技公司,以Canvas学习管理系统最为知名。学校和大学通常用它来管理课程、作业、评分和沟通。
疑似2.8亿条学生教职数据泄露,官方未披露具体数量
上周五(5月1日),Instructure 披露其正在调查一起网络攻击,随后确认遭遇了数据泄露,用户姓名、邮箱地址和私信内容在事件中暴露。
勒索团伙 ShinyHunters 宣称对这起攻击负责,并称其从 8809 所高校、学区和在线教育平台,窃取了涉及学生、教师和员工的 2.8 亿条记录。
图:ShinyHunters 泄露站点上的 Instructure 条目
网络犯罪组织公布了一份名单,列出据称受此次攻击影响的八千多个学区、大学和教育平台,并向媒体分享了各机构对应的记录数量。名单中各教育机构对应的记录量从数万到数百万不等。
ShinyHunters称,数据是通过 Canvas 的数据导出能力被窃取的,包括 DAP 查询、provisioning 报告和用户 API;他们称共收集了数百 GB 的用户记录、消息和选课数据。
部分大学前几天已开始发布有关潜在影响的声明。
“科罗拉多大学已注意到涉及 Instructure(Canvas 母公司)的数据泄露。Canvas 是我们的学习管理系统。这次被报告的数据泄露是一次全国性事件,影响多个机构。”科罗拉多大学博尔德分校警示称。
“截至目前,罗格斯大学尚未收到任何直接影响本校的通知。Canvas 目前仍对罗格斯教职员工和学生保持可用并正常运行。”罗格斯大学表示。
“目前调查正在进行,以确定事件具体经过及受影响系统。蒂尔堡大学学生和员工数据是否受到影响尚未确认。我们已向供应商进一步提问以获取更清晰信息。”蒂尔堡大学称。
图:Instructure持续更新调查进度
本周三(5月6日),Instructure 发布声明表示,调查目前显示被盗信息包括“受影响机构用户的某些身份识别信息,例如姓名、电子邮件地址、学生 ID 编号,以及用户之间的消息”。公司称未发现证据表明泄露数据包含更敏感信息,如密码、出生日期、政府身份标识或金融信息。
Canvas 再次被攻破,所有用户都收到了数据勒索威胁
本周四(5月7日),勒索团伙 ShinyHunters 可能再次攻破了 Instructure,这次他们对 Canvas 平台的学校登录页面进行了篡改。
对被篡改门户的检查显示,黑客注入了一个 HTML 文件,修改了登录界面,让其显示自己的信息。
该信息称,“ShinyHunters 已经(再次)入侵 Instructur,他们没有联系我们解决问题,而是无视我们并做了一些‘安全补丁’。”如果 Instructure 不“协商达成和解”,黑客将在 5 月 12 日公开被盗数据。
Instructure 公司对这次的篡改攻击作出响应,临时关闭了平台。
该平台被数千所学校、大学和企业用于管理课程、作业并与学生沟通,由此引发了报道开头的混乱情况。许多受影响学校和大学正值期末考试期间,若长时间停机,可能对该公司造成高度损害。
大量学校公告称受影响,部分或已联系勒索组织
已报告受到影响的高校包括宾夕法尼亚州立大学、威斯康星大学麦迪逊分校、哥伦比亚大学、加州大学洛杉矶分校、西北大学、芝加哥大学以及伊利诺伊大学等。
宾州州立大学在给学生的通知中表示,目前“没有人可以访问”Canvas,且“预计未来 24 小时内”不会完成“修复”。该校还称,其 Pollock 测试中心原定周四和周五进行的所有考试均已取消。
哈佛大学学生报称,该校系统同样出现中断。部分公立学区也在安抚家长情绪,例如华盛顿州斯波坎官员写道,他们“尚未发现此次泄露中包含任何敏感数据”。
勒索信息还建议受影响学校“自行协商赎金”,以阻止本校数据被公开,而不是等待 Instructure 是否选择支付。
一名接近调查、但未获授权对媒体发声的消息人士透露,已有多所大学就付款事宜接触该网络犯罪组织。
该消息人士还指出,ShinyHunters 的数据泄露博客目前不再将 Instructure 列为在勒索受害者,先前展示的 Canvas 客户数据样本也被移除。像 ShinyHunters 这样的数据勒索团伙,通常只会在收到勒索款,或受害方同意谈判后,才会从泄露站点移除受害者信息。
图:Instructure称Canvas服务已恢复
周四深夜,Instructure 在其官网状态日志中通知称,Canvas“目前已对大多数用户恢复可用”。
ShinyHunters主要实施社工攻击,且屡屡攻击得手
ShinyHunters 是一个高频作案、结构流动的网络犯罪组织,专门从事数据窃取与勒索。其常见入侵方式是语音钓鱼与社会工程攻击,通常会冒充 IT 人员或目标组织内其他受信任成员。
上个月,ShinyHunters 从家庭安防巨头 ADT 窃取了 550 万名客户的个人信息。该勒索团伙声称,他们通过语音钓鱼攻破一名员工的 Okta 单点登录账户,继而访问了 ADT 的 Salesforce 实例。
ShinyHunters 近期还宣称对多起面向知名机构的勒索攻击负责,包括 Medtronic、Rockstar Games、McGraw Hill、7-Eleven 以及邮轮运营商 Carnival。
谷歌旗下 Mandiant 咨询的首席技术官 Charles Carmakal 表示,针对 Canvas 客户的攻击,只是 ShinyHunters 近期发起的几场大型网络犯罪行动之一。Carmakal 拒绝就 Canvas 事件作具体评论,但称“目前正在发生多条并行且彼此独立的 ShinyHunters 入侵与勒索行动线。”
安全公司 Cloudskope 的CEO Dipan Mann 表示,下一步走向在很大程度上取决于 Instructure 的客户,也就是为 Canvas 付费的大学、K-12 学区及教育主管部门,是选择施压追责,还是选择低调消化这次泄露。
“教育供应商事故的历史显示,阻力最小的路径通常是后者,”他总结道。
参考资料:综合消息
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
