期末試験直撃：Canvas遭勒索攻擊，9000校數(shù)據(jù)被挾持

為什么偏偏選在期末？美國(guó)高校最依賴(lài)的學(xué)習(xí)管理系統(tǒng)Canvas，在5月7日突然陷入癱瘓。登錄頁(yè)面跳出的不是課程表，而是一封勒索信——犯罪集團(tuán)ShinyHunters聲稱(chēng)手握約9000所教育機(jī)構(gòu)的2.75億人數(shù)據(jù)，限期付款，否則全部公開(kāi)。

Canvas是什么？簡(jiǎn)單說(shuō)，它是美國(guó)大中小學(xué)的「數(shù)字校園」。學(xué)生交作業(yè)、查成績(jī)、參加考試；老師上傳課件、批改、發(fā)通知——全在這個(gè)平臺(tái)上。它停了，不是「網(wǎng)站打不開(kāi)」的小事，是整個(gè)教學(xué)秩序直接停擺。

運(yùn)營(yíng)方Instructure的應(yīng)對(duì)時(shí)間線(xiàn)值得復(fù)盤(pán)。4月29日，公司檢測(cè)到異常訪(fǎng)問(wèn)，啟動(dòng)調(diào)查。5月2日，對(duì)外宣稱(chēng)「問(wèn)題已控制，服務(wù)正常」。5月7日，ShinyHunters的勒索信息卻直接出現(xiàn)在用戶(hù)登錄頁(yè)。Instructure這才緊急將Canvas切至維護(hù)模式，全美學(xué)校瞬間斷線(xiàn)。

攻擊者玩得很大。ShinyHunters不僅向Instructure索要贖金，還繞過(guò)平臺(tái)直接聯(lián)系受影響學(xué)校：「想避免數(shù)據(jù)公開(kāi)？單獨(dú)來(lái)談。」最初期限是5月6日，后延至5月12日。他們宣稱(chēng)的數(shù)據(jù)規(guī)模——9000校、2.75億人——目前尚未經(jīng)獨(dú)立核實(shí)，但恐慌已經(jīng)蔓延。

技術(shù)根因指向一個(gè)被忽視的入口：「Free for Teacher」。這是Instructure給教育者提供的免費(fèi)試用環(huán)境，支持工單系統(tǒng)存在漏洞。Instructure確認(rèn)，4月29日與5月7日兩次入侵均與此相關(guān)。補(bǔ)救措施包括：暫停該賬戶(hù)類(lèi)型、作廢權(quán)限憑證、輪換內(nèi)部密鑰、限制令牌創(chuàng)建路徑，并引入CrowdStrike做取證，同步通報(bào)FBI與CISA。

但溝通策略招致批評(píng)。安全媒體KrebsOnSecurity指出，Canvas在顯示攻擊者信息后，曾將門(mén)戶(hù)標(biāo)注為「計(jì)劃維護(hù)」。云安全公司Cloudskope的迪潘·曼質(zhì)疑：5月2日說(shuō)「已控制」，5月7日又被突破，時(shí)間線(xiàn)如何自洽？Instructure在5月9日的更新中道歉，承認(rèn)「未能提供更一致的溝通」，并承諾設(shè)專(zhuān)門(mén)頁(yè)面同步確認(rèn)信息。

ShinyHunters并非無(wú)名之輩。該團(tuán)伙慣用語(yǔ)音釣魚(yú)、社會(huì)工程學(xué)偽裝IT人員滲透企業(yè)，此前曾宣稱(chēng)攻擊ADT、Medtronic、Rockstar Games、McGraw Hill、7-Eleven、Carnival等。Mandiant Consulting的查爾斯·卡瑪卡爾表示，ShinyHunters當(dāng)前正同時(shí)推進(jìn)多起入侵勒索行動(dòng)。

截至5月9日，Canvas宣布完全恢復(fù)。但數(shù)據(jù)泄露的具體范圍、涉及哪些客戶(hù)，Instructure稱(chēng)仍需數(shù)周調(diào)查。官方建議用戶(hù)：留意學(xué)校正式通知，警惕借此事發(fā)起的釣魚(yú)郵件、短信和偽造登錄頁(yè)。

事件留下一個(gè)尖銳問(wèn)題：教育基礎(chǔ)設(shè)施的安全投入，是否匹配其社會(huì)權(quán)重？期末周斷網(wǎng)，影響的不僅是分?jǐn)?shù)，是數(shù)百萬(wàn)學(xué)生的升學(xué)、畢業(yè)、獎(jiǎng)學(xué)金——這些無(wú)法「維護(hù)」回來(lái)。