西門菲沙大學(SFU)大學在今年2月份遭受「勒索軟件」(ransomware)攻擊,有文件顯示,共計有超過25萬份學生、教職人員及其他資料外洩。
「勒索軟件」是一種惡意軟件,通過加密受害者的檔案,以其中的資料作為威脅要求受害者支付贖金來換取解密密碼。SFU的數據庫在今年2月27日遭到攻擊,數據庫中包含有2019年6月20日之前在學校註冊的教職員工、學生、校友、退休人員等的證件號碼、姓名、生日、課程註冊及加密密碼等信息。
根據SFU本周提供給加拿大廣播公司(CBC)的統計數據,資料被洩露的賬號共計約25萬份,其中包括37,500名學生、35,000名校友、6,500名員工和1,250名教職人員,另外還有160,000個沒有電子郵件訪問權限的「輕量級」(lightweight)賬號受影響,這些賬號涉及SFU校友、前員工及沒有畢業的學生等。
據了解,此次系統漏洞是由於開發人員更換了SFU的計算機系統軟件,但與早前版本不同的是,新軟件將系統向全球網絡開放,而非僅限本地網絡訪問。IT人員在第二天就發現數據庫被攻擊,系統中還留有一份通知要求交付贖金,否則就會把數據外洩。工作人員立刻切斷了系統連接,但發現這些數據已經被複製。3天后,校方向全校發出電子郵件,並在網站發布通知,敦促所有成員更改密碼。
儘管校方表示,事件中沒有銀行或其他金融信息被洩露,也沒有身份被盜用的風險,但這次攻擊也凸顯了大專院校網絡的安全威脅與系統漏洞。
SFU首席信息官羅曼(Mark Roman)表示,與早前卡加利大學(University of Calgary)在2016年遭受的勒索軟件攻擊不同,由此次於外洩的是舊數據的副本,校方沒有必要支付贖金。
學校早前曾遭遇到了的惡意軟件攻擊,但受影響範圍不大,只有諸如助教職位在線申請、經濟援助咨詢、延期入學申請等網站表格數據遭破壞。
羅曼表示,目前還沒有證據顯示,有人嘗試用這些個人資料登陸系統。
不過,溫哥華網絡安全咨詢公司Cyber SC的創始人沃格爾(Dominic Vogel)認為,這些數據有可能會被網絡做飯用來嘗試訪問銀行賬戶。
卑詩理工學院(BCIT)網絡安全講師蓋爾(Roger Gale)亦指出,這些信息有可能在未來被人放到暗網出售。「學生可能不會成為一個巨大的、有吸引力的目標。」他說,「但如果這個學生之後成為政府部長,而他的相關信息被洩露在外,那就會成為一個很好的目標。」
V19