美国议员就Canvas数据泄露事件要求Instructure作出解释

美国众议院议员要求教育科技巨头Instructure的代表就其两次遭遇网络攻击并导致全球数百万学生个人数据被盗一事作证。众议院国土安全委员会正在调查这些黑客攻击和数据泄露事件，该委员会主席Andrew Garbarino在致Instructure首席执行官Steve Daly的信中表示，委员会有权管辖与国土安全相关的政府活动，美国网络安全机构CISA已被要求协助处理此事件。委员会希望Daly作证说明黑客是如何多次侵入Instructure系统的，并披露被盗数据的类型，同时了解公司对攻击的应对措施、如何通知受影响的学校以及与CISA的协调是否充分。Instructure因对攻击的响应受到批评，尤其是其承认黑客利用相同漏洞窃取大量敏感学生数据并随后篡改学校登录页面。该公司本周证实已与黑客“达成协议”，并声称黑客提供了已删除被盗数据的证据。ShinyHunters黑客组织的代表告诉TechCrunch，他们不会继续勒索该公司或其客户，但拒绝透露公司支付的赎金金额。安全专家长期认为，向黑客付款只会资助未来的攻击，且黑客即使声称已删除数据也可能保留，以期再次勒索受害者。Garbarino表示，同一黑客的第二次入侵引发了关于该公司事件响应能力及其对所持有数据的机构和个人义务的严重质疑，称Instructure数据泄露的规模和时间以及这家主要教育技术供应商在初始入侵后无法遏制威胁行为者的能力，正是委员会有责任审查的系统性漏洞。目前，Instructure尚未说明是否会回应该信函，也未明确Daly或公司负责网络安全的人员是否会作证，其发言人Brian Watkins也未回应TechCrunch周三的置评请求。