Canvas数据泄露后，美国立法者要求Instruct给出答案

美国众议院议员要求两次遭到黑客攻击的教育软件制造商Instruct的代表就该公司对网络攻击的反应作证，这些网络攻击使黑客窃取了全球数百万学生的个人数据。

众议院国土安全委员会主席、众议员安德鲁·加巴里诺 (Andrew Garbarino) 在给InstructCEO史蒂夫·戴利 (Steve Daly) 的一封信中写道，众议院国土安全委员会正在调查黑客攻击和数据泄露事件，因为该委员会对与国土安全有关的政府活动拥有管辖权。美国网络安全机构CISA已受邀协助处理该事件。

Garbarino在信中引用了TechCrunch的报告，并表示，该委员会要求Daly提供证词，以解决黑客如何反复闯入Instruct系统的问题，并披露所获取的数据类型。信中还表示，立法者希望了解该公司如何应对攻击并通知受影响的学校，并寻求检查其与CISA的协调是否充分。

Instruct是主流的Canvas学校信息门户软件的制造商，该公司因其对攻击的反应而面临批评，特别是在它承认黑客利用同一漏洞窃取大量敏感学生数据并随后破坏学校登录页面之后。

该公司本周证实，它与黑客“达成了协议”，并声称黑客提供了证据证明他们已经删除了被盗数据。 ShinyHunters黑客的一名代表告诉TechCrunch，他们不会继续勒索该公司或其客户，但拒绝透露该公司支付了多少赎金。

安全专家长期以来一直认为，向黑客付费只会为未来的攻击提供资金。众所周知，黑客即使声称已删除被盗数据，也会保留这些数据，通常是希望再次勒索受害者。

加巴里诺表示，同一黑客的第二次入侵引发了“对该公司事件响应能力及其对其持有数据的机构和个人的义务的严重质疑”。

加巴里诺在信中写道：“Instruct漏洞的规模和时间，以及主要教育技术供应商在初次入侵后表现出的无法遏制威胁行为者的情况，正是委员会有责任检查的系统漏洞。”

Instruct尚未表示是否会对这封信做出回应，也没有表示Daly或该公司负责网络安全的任何人是否会作证。

Instruct发言人Brian Watkins周三没有回应TechCrunch的置评请求。