全美多間學校及大學正從一場網絡服務中斷中恢復,該中斷導致管理考試、課程筆記、講座影片及成績的網上平台Canvas癱瘓。這次與網絡攻擊相關的服務中斷,正值許多大學的期末考試期間,這是一個學生和導師高度依賴該平台的高壓時期。
Canvas的母公司Instructure表示,截至周四晚,該平台已恢復供大部分用戶使用。
檔案圖片顯示,2024年1月2日,人們在麻省劍橋哈佛大學校園內,約翰哈佛雕像(左)附近拍照。(美聯社圖片/Steven Senne) AP圖片
網絡安全公司Emsisoft的威脅分析師盧克康諾利表示,黑客組織ShinyHunters聲稱對這次入侵負責。周五,Instructure和Canvas已不再出現在ShinyHunters列出其攻擊目標的網站上。
然而,部分學校仍以「高度謹慎」為由,在評估安全威脅期間,繼續阻止學生和教師登入Canvas。
學校和大學使用Canvas管理教學的幾乎所有方面。該平台充當成績簿、數碼講座和課程材料的中心、課堂項目的討論區,以及學生和導師之間的訊息平台。
部分課程亦會在該平台上進行測驗和考試,或將其用作提交期末項目和論文的入口網站。
康諾利指出,ShinyHunters是一個由美國和英國青少年及年輕成年黑客組成的鬆散組織,他們曾與其他大規模網絡攻擊有關,包括針對Ticketmaster的攻擊。在列出其攻擊目標的頁面上,該組織形容自己「自19年起便在入侵你們的系統」,這是一個指進入電腦系統最深層的術語。
本周較早時,ShinyHunters表示,如果學校未能在5月6日的截止日期前支付贖金,近9,000所學校和2.75億個人的數據可能會被洩露。該組織隨後延長了截止日期,表明部分學校已與他們接觸進行談判。
該組織在ShinyHunters的勒索軟件網站上發布聲明稱,不會就此次事件發表評論。
學校和大學擁有大量學生的個人身份資訊、教師和員工的資料,已成為勒索軟件攻擊中犯罪黑客的主要目標。目標可以是個別學區,例如明尼亞波利斯公立學校或洛杉磯聯合學區,或是教育系統日益依賴的外部供應商平台,如Canvas或PowerSchool,以管理日程、課程和考試。
儘管大多數學校似乎已恢復Canvas的存取權限,但對期末考試期間的干擾可能會持續整個星期。
麻省大學達特茅斯分校表示,將把原定於周五和周六舉行的考試推遲,以確保學生有時間溫習在停機期間無法存取的課程材料。
伊利諾伊大學推遲了所有原定於周五、周六或周日舉行的所有課程考試,無論這些課程是否使用Canvas。
馬里蘭州蒙哥馬利縣公立學校周五繼續限制Canvas的存取權限,理由是「高度謹慎」,「同時我們努力更好地了解事件的全面影響以及任何涉及與平台相關資訊的潛在漏洞」。
Instructure首席資訊安全官史提夫普勞德在5月2日發布的更新中表示,數據洩露似乎涉及Canvas平台上的學生證號碼、電郵地址、姓名和訊息。他指出,公司尚未發現密碼、出生日期、政府身份證明或財務資訊被洩露的證據。
即使Canvas已恢復上線,網絡安全專家仍敦促受影響的學生和教育工作者保持警惕。
其他不法分子可能會試圖利用洩露事件的餘波,發動額外的網絡釣魚攻擊。國家網絡安全聯盟資訊安全及參與總監克里夫施泰因豪爾警告,例如有人冒充學區,可能會發送惡意訊息,提示用戶重設Canvas密碼。
施泰因豪爾表示:「對任何收到的訊息都要非常警惕」,特別是如果訊息要求緊急行動。
專家強調,重大洩露事件提醒消費者重新審視整體最佳的「網絡衛生」習慣。
基本措施包括建立難以猜測的密碼、盡可能使用多重身份驗證,以及監控網上帳戶是否有任何可疑活動。此外,聯邦貿易委員會指出,全國性信用報告機構——例如艾可飛、益百利和環聯——提供免費的信用凍結和欺詐警報,消費者可以設置這些服務以幫助保護自己免受身份盜竊和其他惡意攻擊。
(美聯社)
人工智能原生存取管治平台Opal Security今日宣布,獲得2300萬美元新一輪融資,並委任五名高層,包括產品總監Sameer Mehta。Sameer Mehta此前任職於身份安全平台Veza,負責開發非人類身份及存取智能相關產品。新一輪融資由Greylock及Battery Ventures牽頭,並獲Cambium Capital參與,令Opal的總融資額增至5900萬美元。
行政總裁Howard Ting於2025年12月加入Opal Security,他曾任職於Cyberhaven、Nutanix、Palo Alto Networks及Redis等領先網絡安全及企業軟件公司,經驗豐富。他上任後首批舉措之一,是晉升Alex Pien為技術總監,在Opal擴展業務之際,鞏固其工程部門。新委任的高層包括:
Opal Security行政總裁Howard Ting(左起)與五位新加入的高層:Sameer Mehta、Alex Pien、John Clark、Michael Kwon及Christine Ooley。 AP圖片
自2026年初以來,超六成Opal團隊成員已加入,在工程、產品及市場推廣方面加快招聘。這次增長反映市場轉變:人工智能代理正重塑企業存取模式,部署速度超乎安全團隊追蹤能力,並經常利用用戶現有、權限過大的憑證。團隊現時需要將每個代理與其人類及服務身份一併檢視,為每個代理設定任務範圍,並在出現問題時限制影響範圍。
Opal將代理納入與所有其他身份相同的存取圖譜、審查、所有權及策略即代碼。Opal於三月推出業界首個可檢視、編碼及執行存取管治的平台,核心為Paladin,一個人工智能引擎,負責評估請求並僅將需要人手處理的請求升級。
Databricks、Notion、Cloudflare、Scale AI、CoreWeave、SpaceXAI及Superhuman等公司均依賴Opal,以在採用人工智能代理時,現代化其身份堆棧。Databricks透過Opal處理86,000個即時存取請求,而Mercari則透過自動化審查,管治超5,000個Okta權限。其模式為:預設即時存取、揭示風險而非形式主義的存取審查,並在不再需要時立即撤銷權限。人工智能代理需要相同的控制,但規模及速度要大得多。
Opal Security行政總裁Howard Ting表示:「優秀的營運者不會追逐市場,他們會選擇最大的問題,並組建最佳團隊來解決。Sameer、John、Michael及Christine各自開發了定義行業類別的產品,他們加入Opal的原因相同:管治人類、服務及人工智能代理等所有身份的存取權限,正成為安全領域的關鍵問題之一。新一輪融資為我們提供了解決問題的資源。」
Sameer在Veza領導非人類身份安全、存取智能及生命週期管理產品;此前他曾在Citrix營運全球產品部門,並曾任職於Symantec及Sun Microsystems Research Labs。John為Cisco帶來現場及解決方案工程領導經驗,他曾在Cisco領導人工智能安全解決方案工程,此前曾任職於Valtix(已被Cisco收購)、ThousandEyes及Riverbed。Michael為Clumio、Redis及SignalFx帶來市場推廣及需求生成領導經驗。Christine來自Salesforce及Box,最近領導MuleSoft的API及代理產品組合營銷。
Opal Security產品總監Sameer Mehta表示:「我畢生致力於身份及安全領域,很少見到一個平台能如此契合人工智能時代的市場趨勢。過去,存取權限是一次性決定。現今,它已成為一個涉及人類、服務及人工智能代理,以機器速度運作的持續性、高流量問題。真正的問題在於控制。大多數解決方案僅止於可見性或管治,而Opal令我興奮的是,他們正在定義身份的控制平面,實時在每個系統中執行存取決策。」
關於Opal Security
Opal已從Greylock Partners、Battery Ventures、Box Group、SVCI及Cambium Capital籌集5900萬美元,並最近獲選為Notable Capital的《2026年網絡安全新星》名單,該名單列出30間最有前途的私人網絡安全初創企業,由150位頂尖首席信息安全官選出。Opal是人工智能原生存取平台,為安全團隊提供實時可見性、表達性策略即代碼,以及對從員工到服務帳戶再到人工智能代理等所有身份的直接控制。隨著環境變得更具動態性及自主性,Opal成為一個自我改進的系統,確保彈性並能在不增加風險的情況下加快運作。
(美聯社)
