美国教育技术公司Instructure旗下的Canvas在线学习平台,于2026年4月29日遭到ShinyHunters黑客组织攻击,数以亿计用户数据被窃取 [1, 2, 3, 4, 5, 6, 7, 8]。
此次网络入侵影响了全球约9000所教育机构,涵盖美国、加拿大、英国、澳大利亚和香港等地区 [1, 2, 3, 4, 7, 8]。黑客声称盗取了约2.75亿用户的信息,包括学生姓名、电子邮件、课程消息及注册详情 [2, 3, 4, 5, 7, 8]。
网络攻击导致Canvas平台长时间下线,严重干扰了全球范围内考试和课程的正常进行 [1, 2, 3, 4, 6, 8]。据悉,攻击利用了Canvas针对教师的“免费支持”工单系统中的漏洞,目前该系统已被暂时停用 [2]。
Instructure与黑客达成协议后,黑客返回了被盗数据并提供数字销毁记录(碎纸日志)以证明数据已删除。公司发言人强调,虽然无法百分百确认数据彻底消失,但采取了多项措施降低风险,保护客户利益 [1, 3, 4, 5, 6, 7, 8]。黑客代表表示,“数据已删除,不会再对公司及客户进行敲诈或联系付款” [8]。
Instructure CEO史蒂夫·戴利(Steve Daly)公开道歉,承认此次事件给用户带来极大不便和压力,并承诺改进沟通。“你们理应获得更连贯的信息,我们对此深表歉意” [2]。
此次泄露并未涉及密码、出生日期、政府身份证或财务信息,主要是身份识别和课程通信内容受到影响 [4, 6]。Instructure未披露赎金金额或具体付款细节 [1, 3, 5, 8]。
美国国土安全委员会已对该事件展开调查,已要求Instructure CEO史蒂夫·戴利出席作证。委员会主席安德鲁·加巴里诺称“此事件暴露出教育科技供应商在应对安全威胁上的系统性漏洞,需要进行彻底审查” [9]。
4月29日攻击爆发后,黑客曾于5月3日公开勒索赎金并威胁泄露更多私人信息。赎金截止日期曾延长,多所学校介入谈判。5月7日,黑客又发起二次攻击,篡改Canvas登录页面施压公司。5月11日Instructure宣布达成协议,随后黑客泄露页面于5月12日被移除,显示赎金可能已支付 [1, 2, 3, 4, 5, 6, 7, 8]。
接下来,美国国土安全委员会将继续调查,预计未来数日对Instructure领导层进行进一步问询,推动事件的责任追究和安全整改。
