Canvas平台遭网络攻击致全美多所学校教学中断
2026年5月7日,美国广泛使用的教育科技平台Canvas遭遇大规模网络攻击,其登录页面被黑客组织ShinyHunters篡改,显示赎金勒索信息,威胁泄露来自近9000所教育机构的2.75亿学生及教职员工数据。受此影响,全美数十所中小学及高校课程与作业管理服务中断。
Canvas母公司Instructure(NYSE:INST)在当天中午宣布关闭平台,其官网显示“Canvas正在接受计划维护,敬请稍后查询”。该公司此前于5月6日发布声明,确认数据泄露,称窃取信息包括用户姓名、邮箱、学生ID及用户间消息,但未发现密码、出生日期、政府身份证明或财务信息。公司当时表示已控制事件,平台运行正常。
然而,5月7日中午,大量师生在社交媒体上反映,登录页面被替换为ShinyHunters的勒索信息,要求受影响机构自行谈判支付赎金以避免数据公开。该组织声称,Instructure在首次发现攻击后仅进行“安全补丁”修复,未与其联系解决。有未具名调查消息源向KrebsOnSecurity透露,部分高校已与ShinyHunters展开谈判。同时,ShinyHunters的泄露网站已移除Instructure及其客户数据样本,通常表明已收到赎金或达成谈判。
安全公司Cloudskope创始人Dipan Mann指出,Instructure将此次中断称为“计划维护”存在误导。他强调,ShinyHunters早在2025年9月即通过Canvas入侵宾夕法尼亚大学,泄露大量内部文件,被视作攻击概念验证。2026年5月1日的首次攻击是“生产性行动”,而5月7日的再次入侵则证明所谓“已控制”不实。Mann认为,此次事件是ShinyHunters针对Instructure长达八个月攻击计划的升级。
ShinyHunters是活跃于全球的网络犯罪组织,擅长通过语音钓鱼和社交工程手段入侵目标系统,曾攻击ADT、Medtronic、Rockstar Games、麦格劳希尔、7-Eleven及嘉年华邮轮等知名企业。Mandiant Consulting首席技术官Charles Carmakal表示,目前ShinyHunters正同时推进多个独立的入侵与勒索行动。
Mann指出,未来局势取决于Instructure的客户——各高校、中小学及教育部门——是否施压或选择沉默应对。他指出,教育行业供应商事件历史表明,多数选择后者。
编辑点评
此次Canvas平台遭ShinyHunters攻击事件,不仅暴露了全球教育技术基础设施的脆弱性,更凸显了数据勒索在关键公共服务领域的扩散趋势。教育系统作为社会运行的基础环节,其稳定性直接关系到数亿学生的学业进程和国家人力资源培养。攻击者利用语音钓鱼等社工手段突破企业防线,反映出传统安全防护在面对高度组织化、持续性网络犯罪时的不足。ShinyHunters将攻击从单一机构(如宾夕法尼亚大学)升级为针对平台供应商(Instructure)的系统性渗透,标志着攻击模式从“点对点”转向“平台级”,可一次性影响数万所学校,形成规模化破坏力。这一策略显着提高了攻击的经济回报与政治压力,迫使多国教育部门在数据安全与教学连续性之间艰难权衡。从国际层面看,此类事件可能促使各国加强教育系统网络防御标准,推动公共云服务提供商承担更高安全责任,甚至引发跨国执法协作机制的强化。若Instructure未能有效整改,或导致全球教育机构大规模迁移至替代平台,重塑教育科技市场格局。同时,攻击者通过移除目标信息暗示已达成交易,表明数据勒索已形成准“服务化”产业链,对全球数字治理提出严峻挑战。