Canvas向黑客「跪低」 專家:付贖金如飲鴆止渴
【大公報訊】記者郭如佳報道:跨國網上教學管理平台Canvas日前遭黑客入侵,涉及全球2.75億名用戶受影響,本港多間院校包括理大、香港建造學院、科大等逾7萬名學生及員工資料外洩。Canvas母公司早前表示已跟對方達成協議,獲歸還遭竊取資料,惟對方承認難保證數據被永久刪除。有網絡安全專家對攻擊是否就此結束存疑,指支付贖金並不等同威脅終結,做法有如飲鴆止渴。
無法保證數據被永久刪除
據外媒報道,Canvas母公司Instructure已向黑客支付贖金,但未清楚金額。Instructure早前發聲明指,已與黑客達成協議,對方已歸還竊取資料,並收到黑客提供的電子確認,顯示所有剩餘副本已銷毀,公司承認無法保證數據被永久刪除。Instructure又指獲告知,公司客戶不會在這次黑客入侵事件中被勒索,提醒客戶毋須單獨與黑客進行溝通。公司在聲明未有透露協議細節,包括是否交付了贖金,也未說明此次事件的幕後黑手。
有網絡安全專家對此次攻擊是否就此結束仍存疑。美國聯邦調查局(FBI)網絡部門一名前官員表示,Instructure很可能向黑客支付了贖金。但支付贖金並不等同威脅終結。過往案例中,常有犯罪分子收下贖金,謊稱已銷毀被盜數據,實則將數據留存轉賣。
本港有資訊科技及網絡安全專家指,支付贖金有如飲鴆止渴。現實中,支付贖金既不保證能拿回完整數據,更無法確保黑客沒留後門;一旦開了先例,公司可能會被標籤為「優質客戶」,招致更頻繁的攻擊。最實際的做法是將「贖金」轉為聘請專業團隊進行系統重建與數據清洗。將資源放在加強網絡韌性,以專業的應變方案向客戶展示公司有能力保護數據,才是真正止蝕並保護長遠聲譽的做法。
