线上学习平台Canvas日前遭黑客袭击,我国教育部已与受影响的高等学府保持联系,截至星期四(5月14日),尚未接获任何敏感资料外泄的确切通报。
由美国教育科技公司Instructure开发的Canvas上星期四(7日)遭网络袭击,服务一度中断,导致全球8000多家学府、超过2亿7500万名用户受影响。网络勒索组织ShinyHunters声称对此负责,并恫言若未在5月12日收到赎金将公开数据,其中包括师生私聊记录、姓名和电邮地址等。
新加坡方面,职总恒习、新加坡国立大学、新加坡社科大学、新加坡管理学院,以及新加坡特许会计师协会(ISCA)等机构证实受影响。
教育部发言人星期五(15日)答复《联合早报》询问时说,正与受影响的政府资助高等学府保持联系,尽可能提供支持。私立教育机构则应遵守《个人资料保护法令》规定的法律和数据保护条例。
科技公司称已和黑客“达成协议”
Instructure星期一(11日)在网站发声明称,已与黑客“达成协议”,指对方已归还数据,公司也收到数据销毁的电子证明,不会有客户遭到任何形式的勒索。
《联合早报》就此询问Instructure是否支付赎金以达成协议,但公司代表未正面回应。
网安专家:其他黑客可能效仿 助长歪风
拥有30多年经验的网安专家、新加坡科技设计大学信息系统科技与设计高级讲师龚君文受访时指出,Instructure若支付赎金达成协议,虽换取相对平静的退场交代,却无法消除长期风险。风险包括黑客在盗窃后的约一周已读取数据,以及这套攻击伎俩可能会被其他黑客效仿,助长歪风。
根据他追踪的资料,估计有25家本地机构受影响,其中15家证实确有此事。香港警方早前接获两起有关Canvas数据外泄事件的报案。
龚君文说,这起数据盗窃事件点出新加坡网络防御生态系统中的空白。政府机构看重网络安全,金融服务业等领域有着信息共享机制,但相关威胁与日俱增,大学、成人学习和私立教育提供商在内的机构,也得筑起防备。
尽管Instructure已与黑客达成协议,龚君文提醒,新加坡机构仍应保持谨慎和高度警惕,可通知个人资料保护委员会,提醒受影响学生和教职员工,也可要求用户重置密码。
新加坡社科大学发言人受询时说,将继续关注相关事件进展。根据Instructure,目前事件已受控并得到解决,没有证据表明存在持续的未经授权活动。
发言人说,作为预防措施,校方已提醒用户对网络钓鱼和可疑通讯保持警惕,并检讨内部访问控制和安全措施,继续向学生和教职员工提供指导。
记者也联系其他已知受影响的机构,发稿前尚未得到回应。
