Canvas 遭 ShinyHunters 黑客攻击致全线宕机:2.75 亿学生数据面临泄露

发布日期: 2026-05-08 · 阅读时间: 8 分钟 · 分类: 安全事件

事件概述

2026 年 5 月 7 日Instructure 旗下全球最大学习管理系统 Canvas 确认遭到数据泄露。知名黑客组织 ShinyHunters 声称对此次攻击负责,并在其数据泄露网站上列出了 9000 所学校、2.75 亿学生和教职员工的个人数据。受此影响,Canvas 全线产品(Canvas、Canvas Beta、Canvas Test)已进入紧急维护模式全面宕机。

这是 2026 年以来波及范围最广的教育行业数据安全事件。ShinyHunters 在 Canvas 登录页面直接留下勒索信息,威胁如果受影响学校不在 2026 年 5 月 12 日前联系谈判,将公开全部数据。

发生了什么

事件时间线梳理:

  • 约两周前 — ShinyHunters 通过 Canvas 系统中的漏洞完成渗透,窃取大量数据
  • 上周五 — Instructure 首次披露发生网络安全事件,称已邀请第三方网络安全专家和执法机构介入调查
  • 上周六 — Instructure 更新声明确认用户个人信息确有暴露,包括姓名、邮箱地址、学号以及用户间的私信
  • 近几日 — 公司部署了安全补丁、加强监控并轮换了 API 应用密钥
  • 2026 年 5 月 7 日 — ShinyHunters 在 Canvas 登录页面直接嵌入黑客信息弹窗,同时在其数据泄露站点公开部分数据样本
  • 2026 年 5 月 8 日 — Canvas 全线进入维护模式,用户无法正常访问

Instructure 表示正在与第三方网络安全专家和执法部门合作调查此事,但尚未确认具体入侵时间点,也未回应是否正受到勒索。

影响范围有多大

根据 ShinyHunters 在其数据泄露网站上公布的信息:

  • 9000 所学校遍布全球各地
  • 2.75 亿条个人身份信息(PII)记录,涉及学生、教师和其他工作人员
  • 数十亿条师生私信,包含大量个人对话内容
  • Salesforce 实例同时被攻破
  • 受影响机构覆盖北美、欧洲和亚太地区约 15000 个教育机构站点

Instructure 在其官方声明中称已确认泄露的数据包含 :姓名、邮箱地址、学号、用户间消息。但强调目前没有证据表明密码、出生日期、政府身份标识或财务信息被泄露。

ShinyHunters 是谁

ShinyHunters 是近年来最活跃的数据勒索组织之一。他们此前攻击过的知名目标包括:

  • Ticketmaster — 2024 年大规模数据泄露
  • AT&T — 2024 年客户数据窃取
  • Rockstar Games — 游戏开发资料泄露
  • ADT — 安防公司客户数据泄露
  • Vercel — 云平台数据泄露

该组织通常的做法是:先攻破目标系统窃取数据,未果后再将数据上传至其公共泄露站点,以此施加双重压力。此次对 Canvas 的手法如出一辙。

Instructure 的应对

Instructure 已采取以下措施:

  1. Canvas 全场维护 — 包括 Canvas、Canvas Beta、Canvas Test 在内的服务全部下线,预计 5 月 8 日逐步恢复
  2. 安全补丁 — 已修复被利用的漏洞并增强系统安全
  3. API 密钥轮换 — 要求所有客户重新授权访问 Instructure API
  4. 第三方调查 — 聘请独立网络安全专家与执法机构共同调查
  5. 增强监控 — 部署额外安全监控措施检测异常活动

但在 ShinyHunters 看来,Instructure 的反应不够。黑客组织在留下的信息中指责 Instructure 在其联系后置之不理,仅做了"安全补丁"。

如果我是教育机构管理员该怎么办

如果你所在学校使用 Canvas,建议立即采取以下行动:

  • 通知用户 — 告知学生和教职员工此次事件,提醒警惕钓鱼邮件
  • 重置密码 — 强制要求所有 Canvas 用户修改密码,启用多因素认证(MFA)
  • 审查 API 密钥 — 按 Instructure 要求重新授权 API 应用密钥
  • 监控异常 — 留意非授权登录尝试和异常数据导出行为
  • 法律合规 — 确认是否需要按 GDPR、CCPA 等隐私法规进行数据泄露通报
  • 备份数据 — 在 Canvas 恢复后尽快将关键课程数据下载备份

对于学生个人:尽快修改你的 Canvas 密码。如果其他网站使用了相同密码也要一并更改。留意接下来几周是否有可疑邮件或钓鱼攻击,因为泄露的邮箱和姓名正是社工攻击的绝佳素材。

值得关注的时间节点

ShinyHunters 给出的最后通牒是 2026 年 5 月 12 日。如果在此之前没有机构出面谈判,黑客将公开全部数据。这意味着:

  • 5 月 8-12 日 — 关键谈判窗口期,数据是否公开取决于此
  • 5 月 12 日后 — 如果数据被公开,将可能成为互联网史上规模最大的教育数据泄露事件之一

值得庆幸的是 Instructure 表示密码和财务信息未被窃取,但即便只有姓名、邮箱和私信被公开,也足以对 2.75 亿人造成长期隐私风险。

总结

Canvas 这次被 ShinyHunters 攻破是 2026 年迄今规模最大的教育数据安全事件。和 Ticketmaster、AT&T 的案例一样,ShinyHunters 的惯用手法不会被一次安全补丁就挡住。对于全球数亿依赖 Canvas 进行日常教学的学生和教师来说,本周接下来的几天将是决定数据命运的关键时刻。

我们将持续关注事件进展并在第一时间更新本文。

来源:The Verge · BleepingComputer · Instructure Status