Canvas 遭数据勒索攻击，波及全美近 9000 所学校Canvas Breach Disrupts Schools & Colleges Nationwide

针对广泛使用的教育科技平台 Canvas 的持续数据勒索攻击今天扰乱了美国各地学区及大学的课程安排和学习任务，起因是网络犯罪组织篡改了该服务的登录页面，并发布勒索信息，扬言将从近9,000所教育机构泄露2.75亿学生和教职工的数据。

一位读者分享的一张截图显示了今天出现在 Canvas 登录页上的勒索信息。

Canvas 的母公司 Instructure 今日回应了此次页面篡改攻击，暂时关闭了该平台——该平台被数千所学校、大学和企业用于管理课程作业和作业，并与学生沟通。

此前一周，Instructure 承认发生了一起数据泄露事件，起因是网络犯罪组织 ShinyHunters 声称对此负责，并表示除非支付赎金，否则将泄露数十万学生和教职工的数据。最初设定的付款截止日期为5月6日，但随后推迟至5月12日。

5月6日，Instructure 在一份声明中表示，目前的调查显示被盗信息包括“受影响机构用户的某些识别信息，例如姓名、电子邮件地址和学生ID号，以及用户之间的消息。”该公司表示，未发现泄露数据中包含更敏感的信息，如密码、出生日期、政府标识符或财务信息。

5月6日的更新声明称，Canvas 已全面恢复运营，Instructure 未在其平台上检测到任何持续的未经授权活动。“目前我们认定该事件已被控制，”Instructure 写道。

然而，到了5月7日（周四）中午，数十所学校和大学的师生纷纷在社交媒体上发帖称，ShinyHunters 的勒索要求取代了通常的 Canvas 登录页面。Instructure 随即下线了 Canvas，并用一条消息替换了登录入口：“Canvas 目前正在进行计划中的维护，请稍后查看。”

Instructure 的状态页面上当前显示的消息是：“我们预计很快会恢复服务，并将尽快提供更新。”

尽管 ShinyHunters 窃取的数据是否包含特别敏感的信息尚不确定（ShinyHunters 声称其中包含数亿条师生间的私人消息，以及姓名、电话号码和电子邮件地址），但此次攻击对 Instructure 来说无疑是雪上加霜：许多受影响学校正处于期末考试阶段，长时间的服务中断可能对公司造成严重影响。

今天，无数 Canvas 用户收到的勒索信息建议相关学校自行协商支付赎金，以防止其数据被公开——无论 Instructure 是否决定付款。

勒索信息显示：“ShinyHunters 再次入侵了 Instructure。” “他们没有联系我们来解决问题，而是无视我们并‘打了一些安全补丁’。”

一位不愿透露姓名的调查消息来源告诉 KrebsOnSecurity，已有不少大学主动联系该网络犯罪组织，表示愿意支付赎金。该消息来源还指出，ShinyHunters 的数据泄露博客已不再将 Instructure 列为当前勒索受害者，同时从 Canvas 客户处窃取的数据样本也已被删除。像 ShinyHunters 这样的数据勒索团伙通常只有在收到赎金或受害者同意谈判后，才会将其从泄露网站上移除。

网络安全公司 Cloudskope 创始人兼首席执行官 Dipan Mann 批评 Instructure 在其状态页面上将此次中断称为“计划维护”事件。Mann 表示，ShinyHunters 早在5月1日就展示了其已入侵 Instructure，促使 Instructure 首席信息安全官 Steve Proud 在次日宣布事件已被控制。但 Mann 指出，此次攻击至少是过去八个月内 ShinyHunters 第三次入侵 Instructure。

Mann 今天在博客文章中写道，2025年9月，ShinyHunters 通过 Canvas/Instructure 介导的访问路径，发布了数千份宾夕法尼亚大学的内部文件——包括捐赠者记录、内部备忘录和其他机密材料。据《每日宾夕法尼亚人》及其他媒体报道，这些内容部分是通过这种方式泄露的。

“宾大是名义上的受害者，”Mann 写道，“Instructure 是实施机制。大多数全国性媒体当时将此事件视为宾大专属新闻，而 Instructure 则低调处理，将其当作客户特定问题应对。这种定性在当时是错误的。鉴于2026年5月的事件，这种定性现在显得尤为错误——这些事件如今看来像是 ShinyHunters 针对 Instructure 环境长达至少八个月的攻击模式的有计划升级。2025年9月的宾大泄露事件是概念验证，2026年5月1日的事件是正式执行，而2026年5月7日的再次入侵则是 ShinyHunters 公开表明：5月2日所谓的‘控制’并未真正发生。”

2026年2月，ShinyHunters 向《每日宾夕法尼亚人》表示，宾大未能支付100万美元的勒索要求。3月5日，ShinyHunters 公布了从宾大窃取的461兆字节数据，其中包括数千份文件，如捐赠者记录和内部备忘录。

ShinyHunters 是一个活跃且不断变化的网络犯罪组织，专门从事数据盗窃和勒索活动。他们通常通过语音钓鱼和社会工程学攻击获取企业访问权限，这些攻击往往涉及冒充 IT 人员或其他目标组织的可信成员。

上个月，ShinyHunters 从家居安防巨头 ADT 处窃取了550万客户的个人信息。该勒索组织告诉 BleepingComputer，他们通过在一次语音钓鱼攻击中入侵一名员工的 Okta 单点登录账户，从而获得对 ADT Salesforce 实例的访问权限。BleepingComputer 称，ShinyHunters 最近还声称对多家知名组织发动了勒索攻击，包括美敦力（Medtronic）、摇滚明星游戏公司（Rockstar Games）、麦格劳-希尔教育出版公司（McGraw Hill）、7-Eleven 以及邮轮运营商嘉年华（Carnival）。

Google旗下网络安全公司Mandiant Consulting首席技术官Charles Carmakal表示，ShinyHunters目前发起的针对Canvas用户的攻击，只是其正在进行的几项重大网络犯罪活动之一。Carmakal拒绝就Canvas数据泄露事件发表评论，但表示“目前存在多个由ShinyHunters实施的并行且独立的入侵与勒索活动”。

Cloudskope的Mann指出，接下来事态的发展很大程度上取决于Instructure的客户——即购买Canvas服务的大学、K-12学区及教育部门——是选择施加压力还是默默承受此次泄露事件的影响。

他总结道：“教育行业供应商遭遇安全事件的过往历史表明，最轻松的选择往往是后者。”

更新：美国东部时间5月8日上午11:05，Instructure发布了一份事件进展通报页面，其中包含更多关于此次泄露的详细信息。Instructure表示其Canvas平台已恢复正常运作，并透露黑客利用了与‘免费教师账户’（Free-for-Teacher accounts）相关的问题。

Instructure写道：“这与上周导致未授权访问的是同一个问题。因此，我们做出了一个艰难的决定，暂时关闭‘免费教师账户’。这些账户一直是我们平台的核心组成部分，我们致力于解决与此类账户相关的所有问题。”

Instructure表示，受影响组织已于5月6日收到通知。

该更新声明称：“如果您的组织受到影响，Instructure将直接联系贵组织的指定联系人。请勿依赖第三方名单或社交媒体上发布的可能受影响组织名单，因为这些信息未经核实。Instructure将通过直接沟通向所有受影响组织确认经过验证的信息。”