美国众议院议员要求两次遭到黑客攻击的教育软件制造商 Instruct 的代表就该公司对网络攻击的反应作证,这些网络攻击使黑客窃取了全球数百万学生的个人数据。 众议院国土安全委员会主席众议员安德鲁·加巴里诺 (Andrew Garbarino) 在给 Instruct 首席执行官史蒂夫·戴利 (Steve Daly) 的一封信中写道,众议院国土安全委员会正在调查黑客攻击和数据泄露事件,因为该委员会对与国土安全有关的政府活动拥有管辖权。美国网络安全机构 CISA 已受邀协助处理该事件。 加巴里诺在信中援引 TechCrunch 的报道称,该委员会要求戴利提供证词,以解决黑客如何反复闯入 Instruct 系统的问题,并披露所获取的数据类型。信中还表示,立法者希望了解该公司如何应对攻击并通知受影响的学校,并寻求检查其与 CISA 的协调是否充分。 Instruct 是广受欢迎的 Canvas 学校信息门户软件的制造商,该公司因其对攻击的反应而面临批评,特别是在它承认黑客滥用同一漏洞窃取大量敏感学生数据并随后破坏学校登录页面之后。 该公司本周证实已与黑客“达成协议”,并声称黑客提供了证据证明他们已删除了被盗数据。 ShinyHunters 黑客的一名代表告诉 TechCrunch,他们不会继续勒索该公司或其客户,但拒绝透露该公司支付了多少赎金。 安全专家长期以来一直认为,向黑客付费只会为未来的攻击提供资金。众所周知,黑客即使声称已删除被盗数据,也会保留这些数据,通常是希望再次勒索受害者。 加巴里诺表示,同一黑客的第二次入侵引发了“对该公司事件响应能力及其对其持有数据的机构和个人的义务的严重质疑”。 加巴里诺在信中写道:“Instruct 漏洞的规模和时间,以及主要教育技术供应商在初次入侵后表现出的无法遏制威胁行为者的情况,正是委员会有责任检查的系统漏洞。” Instruct 尚未表示是否会对这封信做出回应,也没有表示 Daly 或该公司负责网络安全的任何人是否会作证。 Instruct 发言人 Brian Watkins 周三没有回应 TechCrunch 的置评请求。