ShinyHunters攻击宾大Canvas，逾30万用户面临风险

ShinyHunters攻击宾大Canvas，逾30万用户面临风险

网络犯罪组织ShinyHunters声称已窃取超过30万名宾夕法尼亚大学相关人员的数据，并迫使该校的Canvas学习门户下线。该组织设定了5月12日的勒索谈判截止日期，威胁称若校方不从，将公开泄露所窃文件。此次事件是Instructure公司更大范围数据泄露的一部分，该公司拥有并运营着被全美众多大学和学校使用的Canvas平台。

据报道，被泄露的数据包括课程注册记录和内部消息，这类敏感的机构信息是学生、教职人员和工作人员从未料想会落入犯罪分子之手的。对于每天都在使用大学账户的群体而言，此次泄露既造成了后勤层面的混乱，也引发了严重的隐私问题。

ShinyHunters是谁，为何此事至关重要

ShinyHunters在网络安全领域并非新面孔。过去数年间，该组织已与一系列引人注目的数据盗窃事件挂钩，专门针对在集中式平台上汇聚大量个人数据的组织。教育机构几乎完全符合这一特征：它们收集姓名、电子邮件地址、注册数据、财务信息、学术记录及私人通讯，而这些信息所存储的系统在安全方面往往资源不足。

在本次事件中，攻击入口似乎始于上游供应商Instructure，而非宾大自身的基础设施。这一区别至关重要。即便一所大学拥有完善的内部安全措施，其防护能力也仅与其所依赖的第三方平台相当。这是一个结构性漏洞，几乎影响着所有使用基于云端学习管理系统的机构。

5月12日的勒索截止日期令本已混乱的局势更加紧迫。在学期日历的关键节点上，学生和教职人员失去了对课程材料、作业和通讯的访问权限，这再次提醒人们，勒索软件攻击在数据泄露之外还会带来真实世界的影响。

为何大学是获利丰厚的攻击目标

高等教育机构已成为勒索软件团伙和数据掮客竞相觊觎的猎场。多重因素使其成为极具吸引力的攻击目标。

首先，大学掌握着数以万计人员的大量个人可识别信息，其中往往包括参与双重注册项目的未成年人。其次，学期日历制造了可预测的高压时间窗口——例如期末考试期间——此时系统中断造成的危害最大，也最可能促成快速支付赎金。第三，大多数大学的IT预算被多重优先事项瓜分，导致安全基础设施的建设水平可能落后于现代威胁行为者的攻击能力。

宾大此次泄露事件延续了近年来数十所机构所遭遇的同一模式。当Instructure这样的单一供应商遭到入侵时，波及范围扩展至每一家客户机构，使得此次攻击对攻击者而言极具经济效益。

这对您意味着什么

如果您是宾大或任何其他使用Canvas平台的机构的学生、教职人员或工作人员，此次泄露是一个直接信号，提示您应重新审视自己围绕机构账户的数字安全习惯。

从密码开始。大学登录凭据经常被重复用于个人邮箱、社交媒体及其他服务。如果您的宾大登录密码与您在其他任何地方使用的密码相同，请立即在所有平台上更改。在每一个支持多因素认证的账户上启用该功能，优先保护电子邮件以及任何与财务或学术记录相关联的账户。

在接下来的数周内，请对网络钓鱼尝试保持警惕。获取了注册数据和内部消息的攻击者，能够精心构造极具欺骗性的邮件，使其看起来来自大学行政部门或教授。如果您收到要求点击链接或提供凭据的意外消息，请在采取任何行动之前通过官方渠道予以核实。

此外，还值得思考数据最小化这一更宏观的原则。任何单一平台上存储的个人数据越多，该平台遭到入侵时所面临的风险敞口就越大。在可能的情况下，避免在机构系统中存储超出必要范围的敏感个人信息。

对于通过共享网络访问大学系统的用户——例如校园Wi-Fi或公共热点——使用信誉良好的VPN可以降低凭据在传输过程中被截获的风险。虽然VPN无法阻止Instructure的此次泄露，但对于任何经常处理敏感登录信息的人而言，保护自己的网络连接是一项良好的基础习惯。

核心要点

ShinyHunters对宾大Canvas系统的攻击再次提醒人们，没有任何机构因其规模庞大或使命崇高就能免遭攻击。Instructure这一上游供应商的泄露事件表明，即使没有对自身系统发动直接攻击，各机构同样可能成为受害者。

对于逾30万名数据可能遭到泄露的用户而言，当务之急的步骤十分明确：更改密码、启用多因素认证，并对网络钓鱼攻击保持高度警惕。对于大学管理人员和IT团队而言，此次事件进一步强化了开展严格供应商安全评估以及设立合同层面数据最小化要求的必要性。

5月12日的截止日期终将过去，但一旦被盗，相关数据并不会就此消失。无论宾大选择谈判还是拒绝，受影响用户都应以其个人信息已在流通中传播为前提采取行动，并相应采取防护措施。