正值美国大学期末周,不少留学生忙着线上提交作业。谁成想,期末季的赶due计划,被一场突如其来的黑客攻击彻底打乱。
覆盖全球上千所院校、支撑2.75亿师生日常教学的平台Canvas,遭遇了史上最严重的安全危机。
成绩查不了、复习资料看不了、作业交不了,页面只剩下一封黑客的勒索信。
Canvas是啥?
Canvas是啥?毫不夸张地讲,那可是咱留学生的“生命线”。无论是看课表、交作业、线上考试、查分数.......通通都得用到它。
然而就这样一个覆盖了全球约9,000所学校的北美第一大学习平台,突然就瘫痪了。
包括哈佛大学、宾夕法尼亚大学、密歇根大学在内的全美上千所学校都受了影响,近万人在Downdetector上报告了问题。
黑客窃取数据范围
从4月30日黑客开始静默抽取数据,到5月7日勒索信息直接公开,这期间3.65TB的数据,包括姓名、邮箱、学号、私信全部被黑客打包带走。
虽然Instructure表示没有证据显示密码、出生日期或财务信息泄露,但想想看,这可是相当于1000小时高清视频的数据量啊!
黑客组织随后向科技媒体TechCrunch提供了数据样本,证实他们窃取了:
• 学生姓名
• 个人邮箱地址
• 师生之间的站内信内容
• 部分电话号码
已确认的大学名单:
• 常春藤盟校:哈佛大学、哥伦比亚大学、普林斯顿大学、宾夕法尼亚大学、达特茅斯学院。
• 其他顶尖大学:斯坦福大学、杜克大学、麻省理工学院、密歇根大学、乔治城大学、弗吉尼亚大学、德州农工大学、休斯顿大学、波特兰州立大学等。
• 全球性影响:澳大利亚、荷兰等国的教育机构也确认被波及。有报道确认荷兰有44所大学和学校受到影响。
黑客给了最后期限,5月12日之前不联系,就公开“学生和教师之间的数十亿条私密消息”。
学生不同反应
面对这次瘫痪,学生们的反应两极分化:
不少学生因无法登录复习、错过考试而焦虑不安。有学生直言“真的慌了”。
也有学生因为作业截止日期被推迟而松了一口气,笑称“这反而帮了我一把”。
运气爆棚的不仅等来了作业延期,甚至直接取消了考试!
UIUC,更是在全体庆祝考试延期!
甚至还有人把黑客当成了许愿池里的王八:黑都黑了,能不能帮我把成绩都改成A啊。
到底是谁在搞事?
这次攻击的幕后黑手,是一个名为ShinyHunters的松散黑客团伙。他们不是什么国家级黑客,而是一群精通云系统漏洞的英美年轻人。
没有公司,没有办公室,全靠加密通讯协调行动,专门盯着大型平台下手,得手后进行勒索。
他们的“战绩”包括Ticketmaster、Google、欧盟委员会、ADT家庭安全系统,甚至GTA母公司Rockstar Games......
有意思的是,ShinyHunters的行事作风在江湖上也是有点“信誉”:不攻击医疗机构,专盯有钱的商业公司,而且企业付了赎金就绝不公开数据。
根据勒索监控网站Ransomware.live披露的消息,ShinyHunters早在5月3日就发过勒索信,声称已经入侵了Instructure的系统。
第一次入侵后,Instructure不仅没主动找他们协商,反而只做了些简单的安全补丁,完全无视了他们的诉求,所以才发起了第二次攻击。
不仅如此,他们还运用“双轨勒索”策略,向各学校发出单独勒索,例如宾大就收到了高达100万美元的赎金要求。
最新进展
截至目前,根据Canvas发布的公告,大部分用户已回复平台访问权,但Canvas测试版、体验版两项独立服务仍处于维护停运状态。
黑客给出的5月12日最后期限已经快到了,谁也不知道他们接下来会不会搞出新的动作,是拿到赎金收手,还是真的曝光数据,后续的事情咱们还是得看后续的......
但还是要提醒大家,黑客手里握有咱们的姓名和邮箱,也给了骗子可乘之机。
绝对不要相信任何以“Canvas信息泄露”“密码重置”“数据核验”为名义的邮件、短信和链接!
别点开链接!
别填写任何个人信息!
更别下载陌生附件!
否则极有可能被有心之人趁机套取密码、银行卡信息,甚至冒充你向学校、家人索要钱财。
实用建议
警惕钓鱼邮件和诈骗信息
黑客最擅长利用泄露的真实姓名和学号发送定向诈骗。任何冒充“Canvas官方”或“学校IT部门”的邮件,要求你点击链接“重新登录”或“验证身份”的,都务必提高警惕。切勿点击可疑链接!
密切关注学校通知
学校会通过官方渠道发布关于此次事件的最新进展和应对措施。请务必关注学校邮箱,若发现异常登录立即修改密码。
备份重要学习资料
期末周的同学,如果复习资料全在Canvas上,这次事件无疑是当头一棒。养成定期备份重要学习资料的习惯,是应对此类突发状况的有效方式。如果Canvas暂时无法访问,及时将作业打包发送邮件给教授,并保留好时间戳和邮件记录,以证明你按时完成。
