Canvas got hacked
Canvas遭黑客攻击,部分恢复后再次宕机,用户讽刺学费将上涨。
1. 关键信息
- Canvas 被黑,涉及 8 千多所学校(#5)
- 泄露信息包括姓名、邮箱、学号、平台内消息,不含 SSN、家庭地址、密码(#25)
- 黑客组织为 ShinyHunters,因受害者未支付赎金而泄露文件(#31)
- 黑客最初要求 5/8 前联系否则泄露,后延期至 5/12(#16)
- 此前 5/1 刚发生过 data breach(#3)
- Canvas status page 仍声称“confirmed no unauthorized activities”(#6、#16)
- 有用户称恢复的学校可能是交了赎金,金额传闻一千万美元(#39)
- 哈佛等学校已恢复(#40),有保险的学校可能不交赎金(#42)
- 黑客组织 ShinyHunters 有多年信誉,交赎金后通常不会二次出售数据(#52)
- 部分学校选择手动停用 Canvas,担心黑客仍可访问(#53)
- 恢复 timeline:4/26 盗取数据,5/2 Canvas 声明已处理,5/7 黑客修改主页索赎金,Canvas 拔线换维护页,5/7 晚恢复,部分学校担忧安全继续停用(#53)
- 有教师因 deadline 冲突无法延期作业(#45)
- 新回复显示 Canvas 再次宕机(#55、#56)
- 有用户指出泄露数据可能未涉及 FERPA,黑客若拿到成绩等敏感信息会大肆宣传(#61)
- 网上信息显示交赎金比例较高,且可谈价格,不一定需要一千万(#61)
- 多个 public school district 也已恢复,暗示赎金金额可能较低(#61)
- 仍有用户询问为何尚未恢复(#63)
- 新增回复 #65 为简短感叹,无实质信息
- 新增回复 #66 引用 BBC 中文报道,确认该事件为跨国网络攻击,影响全球数千所中小学和大学(#66)
2. 羊毛/优惠信息
无
3. 最新动态
- 有小红书消息称恢复的学校已交赎金,一千万美元(#39)
- 哈佛等学校已恢复(#40)
- 部分学校仍未恢复,教师面临作业评分 deadline 压力(#45)
- 用户讨论数据泄露敏感性,本科生信息对家长隐私影响大(#47、#48、#49)
- 黑客组织 ShinyHunters 被指有良好信誉,交赎金后通常不会二次倒卖(#52)
- 用户推测 FBI 或 CIA 已介入(#44)
- 有用户观察到资安板块股票上涨(#46)
- 详细 timeline 更新:黑客在 Canvas 声明修复后再次篡改主页,Canvas 被迫拔线,恢复后部分学校主动停用(#53)
- 新回复指出 Canvas 再次 down 机(#55、#56),用户调侃“钱没给够”(#55)
- 有人评论黑客生意好、比 startup 来钱快(#54),也有人反驳需分钱、洗钱且面临被抓风险(#57)
- FBI/美国政府立场是不付赎金,但公司有保险,保险公司负责出钱(#59)
- 用户讽刺学校被黑客攻击后,下一学期将提高学费,让学生为赎金买单(#60)
- 新回复认为泄露数据价值有限,可能未触及 FERPA 保护内容(#61)
- 有用户指出交赎金比例高且可议价,public school district 恢复也支持这一观点(#61)
- 有用户反馈其学校推迟了期末作业 deadline,学生感到高兴(#62)
- 仍有用户发帖询问为何尚未恢复(#63)
- 新增回复 #64 调侃某用户“居然还在上学”,与攻击事件无直接关联
- 新增回复 #65 为简短感叹,无实质信息
- 新增回复 #66 引用 BBC 中文报道,确认该事件为跨国网络攻击,影响全球数千所中小学和大学(#66)
4. 争议或不同意见
- 用户讽刺 Canvas status page 声称“无 unauthorized activities”是笑话(#6、#16)
- 有人认为泄露数据价值不大,黑客可能没拿到有用信息(#26)
- 有人担忧影响严重:正值考试/DDL 密集期(#28),online final 或改为线下(#7),或推迟考试打乱回国计划(#14、#30)
- 有人期待未来 class action 获赔(#6、#11、#12、#34)
- 用户对黑客称受害者为“victim”表示讽刺(#31)
- 有用户调侃等 class action 发财(#34),也有人问明天买什么股票(#35)
- 对于交赎金是否有效存在分歧:有人认为交赎金可防止数据倒卖(#47),也有人担心交了钱数据仍被二次出售(#51)
- 有用户质疑:恢复的学校不一定交了赎金,可能只是 Canvas 修复了系统(#42)
- 教师群体对作业延期态度不一:有的教师因评分 deadline 无法延后(#45),但也有学校推迟了 deadline 让学生受益(#62)
- 新回复中用户对黑客技术表示认可(#57),并指出 FBI 不主张付赎金与保险公司付赎金之间的矛盾(#59)
- 用户讽刺学校会通过提高学费来弥补赎金损失,学生被卖还要帮着数钱(#60)
- 新回复认为泄露数据未涉及 FERPA,黑客若拿到成绩会大肆宣传,暗示数据价值低(#61)
- 关于赎金金额:有用户认为一千万传闻过高,实际可谈价,public school district 恢复说明赎金可能较低(#61)
- 部分用户对恢复进度缓慢表示困惑(#63)
- 新增回复 #66 引用 BBC 报道,确认事件为跨国网络攻击,影响范围覆盖全球数千所学校,进一步证实事件严重性(#66)
5. 行动建议
- 密切关注学校通知和 Canvas status page 更新
- 若在线考试受影响,立即联系教授/教务
- 检查并更改其他平台可能重用的密码(注意防范钓鱼邮件)
- 留意未来可能的集体诉讼信息(#6、#11、#34)
- 学生可向学校询问是否已缴纳赎金或数据是否已被清除(#47、#53)
- 教师应提前与教务处沟通评分 deadline 的弹性(#45)
- 可关注网上关于赎金谈判比例的信息,了解学校恢复速度差异的可能原因(#61)
- 若学校已推迟 deadline,学生可合理安排时间完成作业(#62)
- 若学校仍未恢复,持续关注官方通知并耐心等待(#63)
- 可阅读 BBC 中文报道(#66)了解事件全貌,以便向学校或家长解释情况
/uploads/short-url/fRwaxSfxhLFbUAnQi9nrzKDHj4.jpeg?dl=1
我今天还要写考试呢
again?5/1刚data breach
我看好像最近一直断断续续在被黑?我们学校是刚被黑的
这学校list好长。。8k多所
status page还写confirmed no unauthorized activities,this is final update,有点好笑了 感觉若干年后肯定有class action分钱了,学校就偷着乐没有违法ferpa吧
别给我的online final 改成线下了
有无发财机会
“Instead of contacting us to resolve it” Better description is “blackmailing”
还好我们学校穷得买不起canvas用别的垃圾平台
DELTA: class action分钱 能分到多少
这么多大学生你觉得能分到多少
Canvas开始应对了 /uploads/short-url/7sDVPX0ASDXxAWvtSXjZN164jS0.png?dl=1
我说呢,这什么鬼,又来? 话说,下个星期就要回国了别把final给推迟了,不然就裂开了 /uploads/short-url/fXVjZnXp9Uyc3qmZa7Svu6CO6wq.jpeg?dl=1
Final exam会不会推迟,学生数据会丢吗?
status page还写没有unauthorized access呢 不会也是ai改的code吧 一开始说5/8不联系就leak,现在又说5/12,看来没hack到什么有用的东西,名字学号email谁还没有呢
same,我有个take home final今晚due啊啊啊
刚才在用LDB考final 还差最后几题然后就被黑了
学校的律师管不管
这是真的惨
太疯狂了
可能是我校为数不多的跟MIT上同一个榜单的机会
/uploads/short-url/zSKIQ38DjhvTySITRnDWVWQQfYF.jpeg?dl=1 可是新闻消息,上周三就出来了 https://cybernews.com/security/anvas-lms-breach-universities-data-leak/
学校发的通知 Canvas has indicated that certain user information may have been exposed, including names, email addresses, student ID numbers, and messages exchanged within the platform. Please note that more sensitive personal information, such as Social Security numbers, home addresses, and passwords, is not stored within Canvas environment and was not impacted.
same,其实也是些没什么用的东西,所以hacker才拖延日期,毕竟leak了也没啥影响
哇塞 你尽然比我快!!!
这次事情挺严重的,估计canvas一时半会好不了了。很多学校这周或者下周考试/登分/各种ddl,影响还是很大的
这下可以推迟交卷子了吧
别啊,我下星期就回国了不想边玩边考,这样很没状态
These files were leaked on the ShinyHunters DLS because the victim did not pay a ransom or cooperate and comply with the ShinyHunters group. 笑死 怎么还叫人家victim啊
我们这里课直接取消了,现在我在图书馆里
好开心 不用给学生写feedback了
太好了,等一手class action settlement
等一个明天买什么股票发财
恢复了
我們學校還掛著呢
岂不是不用批作业了
看xhs说现在恢复的学校都是已经交赎金了的 一千万交这么快吗?哪家学校大方一目了然了
我们学校恢复了 哈佛也恢复了 我知道这俩
说明很有钱,没恢复的都是抠门学校。100个学生的学费而已
好像大部分的都可以用了,感觉不会有学校因为这个而交钱的,而且大部分学校都有cyber sec 保险 /uploads/short-url/vunvjFlj7U7GWUdF8F272akfpW4.png?dl=1
Claude Mythos干的吗
应该报了FBI 或者 CIA
我们学校还没恢复,好多学生问我最后的作业能不能延期,问题是我交letter grade到教务处的ddl就在那之后啊
開始有AI搞學校系統了 難怪今天資安漲得飛起
重点应该不是可不可以用,而是数据泄漏。 学生信息都挺敏感的,有很多人不想别人知道自己小孩在哪上学。 Canvas恢复了,但数据如果还在别人那里,那也没意义。还是得交赎金防止数据被卖掉。 网上搜了一下,说是选择交赎金的比例其实挺高的,而且可以谈价格的话不一定要交一千万这么多。这就可以解释为什么有的学校恢复的很快,有的学校没恢复
xxxyyy: 有很多人不想别人知道自己小孩在哪上学。 Graduate student被列在网站上,感觉没有隐私
本科生才是客户
直接waive掉这次作业
万一交了钱,数据转手又被卖了怎么办。
人家是有名的黑客,19年干到现在,wikipedia上统计他们黑过的公司数都数不过来,又不是只做一笔生意,没诚信以后大家都不给他们交钱了
现在很多没恢复的学校是学校选择不恢复的 timeline大概是这样: 4/26 那周黑客盗取了 Canvas 的数据要求赎金 5/2 Canvas 声明发生了数据泄露,未经授权的访问已被处理,没有其他的问题了 5/7 下午黑客看 Canvas 不给钱还说已经修好了,于是就把 canvas 主页改了,要求各学校直接支付赎金 5/7 下午 Canvas 官方拔线换成 maintaince 的主页 5/7 晚上 Canvas 系统恢复,但是有部分学校担心黑客仍然可以访问和修改 Canvas 的内容所以手动继续停用 Canvas
这生意好啊,搞什么startup,这比startup来钱快多了,还不用交税。
我校的canvas又down了 是不是钱没给够
我这早上11点就发现又down了
前提是不要被抓 ,而且也不知道要多少人一起分钱,还得洗钱,洗完不知道还剩多少 U1S1人黑客能找到这么多漏洞,确实比大部分startup更有技术含量
graduate student (worker)
fbi/美国政府的立场其实是victim一律不应该付赎金,但公司反正买了保险,都愿意让保险公司负责出钱。。。
然后提高下一学期学生的学费 被卖了还要帮着数钱系列
其实有名字学号什么的没啥用,应该没涉及到ferpa 如果想勒索的话肯定大张旗鼓宣传我们已经hack到了grades,personal info等等等 可能的确没hack到什么太有用的东西,而且交赎金还给extension,说明自己心里也有点逼数拿到的没啥有用的,leak了问题也不大 xxxyyy: 网上搜了一下,说是选择交赎金的比例其实挺高的,而且可以谈价格的话不一定要交一千万这么多。这就可以解释为什么有的学校恢复的很快,有的学校没恢复 看到好几个public school district也恢复了,public school应该拿不出那么多钱吧
我们学校正好推迟期末作业的deadline了,爽到
为啥还没恢复
j姐居然还在上学?
这~~~~~
#p-8162999-h-1跨国网络攻击引发大批校园出现混乱 https://www.bbc.com/zhongwen/articles/cqxpe08p27do/simp https://www.bbc.com/zhongwen/articles/cqxpe08p27do/simp 一个黑客组织入侵了全球数千所中小学和大学使用的学术软件Canvas。