全球多所大学遭网络攻击，包括加拿大顶尖高校。我们目前知道这些信息

网络安全专家表示，数据泄露发生得如此频繁，意味着“这是每个人的问题”。

全球数千所学校，包括加拿大的学校，遭遇了一起大规模网络安全事件，涉及 Canvas 这个在线学习管理系统。Canvas 用于连接数百万学生和教师。

受影响的 Canvas 用户包括：多伦多大学、英属哥伦比亚大学（UBC）、阿尔伯塔大学，以及西安大略大学 Ivey 商学院 等加拿大高校。

下面是目前我们知道的情况。

涉及哪些数据？

在大学、学院以及部分 K-12 学校中，教师会使用 Canvas 向学生分享课程笔记、作业、媒体资料、考试内容等，也会用它发送通知、沟通信息和分享成绩。

因此，可能涉及的数据包括：全名、电子邮件地址、学生编号，以及私人信息/私信内容。这是 Canvas 制造商 Instructure 所说的。

该公司表示，他们在 4月29日 发现了未经授权的活动，攻击是通过某一类教师账户进入的。虽然公司撤销了相关访问权限，但在周四检测到更多异常活动后，他们将平台下线进行调查。

Instructure 表示，目前没有发现证据显示 密码、财务信息或政府签发的身份证件信息 被泄露。

这些数据可能被如何利用？

网络安全公司 Emsisoft 的渥太华威胁情报分析师 Luke Connolly 表示，这次泄露“非常令人担忧”，因为这些信息“有很多方式可能被滥用”。

Check Point Software 加拿大工程负责人 Robert Falzon 表示，从黑客角度看，学校是理想目标，因为学生通常处于“财务人生的最开始阶段”，还没有大额贷款或债务。

他说，考虑到近年来不同领域和服务商发生过多次数据泄露，这次 Canvas 事件中的信息可能会与其他地方泄露的数据结合起来，用于建立个人资料，制造虚假身份。

这些虚假身份随后可能被用于申请贷款、办理房贷，或参与各种金融犯罪。

Falzon 还表示，有些情况下，受害者可能要“好几年后才发现自己被害了”。

ShinyHunters 是什么？

一个名为 ShinyHunters 的黑客组织声称对此次网络攻击负责，并称他们已经获取了 2.75亿人 的个人信息，包括学生、教师和学校员工。

该组织此前曾与 Ticketmaster 和 Google Salesforce 数据库泄露事件有关联。

他们威胁说，如果不支付一笔未公开金额的“和解金”，就会公开发布被盗数据。

学生们怎么说？

由于许多美国大学正处于期末考试期间，不少学生在 TikTok 上分享了他们周四尝试登录 Canvas 时看到的 ShinyHunters 信息。

在加拿大，很多大学刚刚结束春季考试。一些学生表示对事件感到困惑，比如他们在看到学校邮件提醒不要登录之前，已经习惯性登录了。

多伦多大学本科生 Deborah Elezaj 说：“我今天早上有点自动地就登录了。现在学校告诉我们要改密码。”

她的同学 Emily Saso 表示，个人信息被泄露是“令人紧张不安的想法”。

各个学校的具体情况如何？

一些受影响的学校已经暂停或不鼓励使用 Canvas，例如阿尔伯塔大学、UBC 和多伦多大学。也有一些学校在平台恢复后重新开始使用 Canvas。

大多数学校已经向学生和员工发送通知，提醒大家警惕可疑邮件。

多伦多大学周五下午在线发布消息称：“我们建议教职员工和学生继续警惕钓鱼邮件。”

学校还提醒：“请记住，大学绝不会要求你绕过多重身份验证。如果你收到要求提供 MFA 绕过代码的邮件，请举报。”

Beauceron Security 首席执行官 David Shipley 表示，这些学校作为受害者，正处在“非常糟糕的困境”中。

他说：“他们依赖这家公司来提供数字服务，而这些服务如果由学校自己来开发和提供，成本可能是他们无法承担的。”

Connolly 对于学校是否应该支付赎金持谨慎态度。他认为，支付赎金会产生连锁效应。

他说：“这会鼓励犯罪分子继续寻找新的受害者，而且这些付款实际上会资助他们开发新的攻击技术，用来攻击其他人。”

谁应该为我们的数据负责？

Falzon 表示，网络安全“是每个人的问题”。

他说，学校有责任确保自己使用的是尽可能好的工具，遵守相关协议，并保护使用这些服务的学生。

与此同时，第三方供应商也有责任和义务，确保他们提供的服务是安全可靠的。

Falzon 表示，在数据泄露“现在几乎每天都在发生”的情况下，偶尔做一次网络安全审计已经不够了。

他说：“我们需要认真考虑缩短审计周期，并确保与社区和合作伙伴一起提高意识，让每个人都明白自己面临的风险，以及自己如何成为解决方案的一部分。”

Shipley 则希望看到更强有力的联邦隐私法律，以及对涉及数据泄露的公司施加“有意义的后果”，类似欧洲对企业开出的高额罚款。

他说：“如果公司一开始就知道可能面临这样的制裁，它们就会更好地管理风险。没有后果的话，以盈利为导向的私人公司只会赚钱，不会在安全上投入足够资源。”

如何保护自己？

Falzon 表示，学生和员工处于一种比较困难的处境，因为他们通常无法决定学校选择哪些供应商，也很难完全不使用这些平台。

不过，他建议大家：

1. 定期更改密码
2. 如果还没有开启多重身份验证，就尽快开启
3. 如果你属于此次泄露影响范围，通知你的银行
4. 注册信用监控服务
5. 减少在社交媒体上分享个人信息，例如居住地点、正在上的课程等

他说，大家应该重新考虑自己在网上公开了多少个人信息。