美国教育科技公司 Instructure 因其旗舰学生数据软件 Canvas 遭遇两次黑客入侵并导致大规模数据泄露，正面临美国国会方面的问询。

美国众议院国土安全委员会主席安德鲁·加巴里诺（Andrew Garbarino）近日致信 Instructure 首席执行官史蒂夫·达利（Steve Daly），要求公司方面就相关网络攻击及应对措施向委员会作出说明。信中指出，委员会依据其对涉及国土安全的政府活动的管辖权，正在调查此次黑客攻击和数据泄露事件。美国网络安全和基础设施安全局（CISA）已被召集协助处理该事件。

信件援引 TechCrunch 报道称，黑客曾两次入侵 Instructure 系统，并窃取使用 Canvas 的全球数百万学生的个人数据。加巴里诺在信中表示，委员会希望达利或其他高级管理人员说明黑客如何能够反复入侵公司系统，并详细披露被窃取的数据类型。

议员们还要求了解 Instructure 在发现攻击后的处置流程，包括如何通知受影响的学校，以及公司与 CISA 协调配合的具体情况和充分性。信中称，同一黑客组织实施的第二次入侵，引发了对公司事件响应能力以及其对所持机构和个人数据义务的“严重质疑”。

Instructure 开发的 Canvas 是广泛使用的学校信息门户软件。公司此前因对本次攻击的应对方式受到外界批评，尤其是在承认黑客利用同一漏洞窃取大量敏感学生数据并篡改学校登录页面之后。

Instructure 本周确认已与黑客“达成协议”，并称对方提供了已删除被窃数据的证据。ShinyHunters 黑客组织一名代表对 TechCrunch 表示，他们不会继续勒索公司或其客户，但拒绝透露公司是否以及支付了多少赎金。

安全领域专家长期以来一直认为，支付赎金可能会鼓励未来的攻击。相关观点指出，黑客在声称删除数据后仍保留被窃信息、并在日后再次勒索受害者的情况并不罕见。

加巴里诺在信中写道，此次 Instructure 数据泄露的“规模和时机”，以及这家主要教育技术供应商在首次入侵后未能阻止威胁行为者的事实，体现出“本委员会有责任审查的系统性漏洞”。

目前，Instructure 尚未说明是否会回应该信件，也未确认达利或公司负责网络安全的人员是否会出席议员们要求举行的闭门简报会。Instructure 发言人布莱恩·沃特金斯（Brian Watkins）周三未回应 TechCrunch 的置评请求。

（更新：5 月 14 日补充说明，议员们寻求的是闭门简报，而非公开听证证词。）