Canvas数据泄露扰乱全国学校与大学

<p>针对广泛使用的教育技术平台<strong>Canvas</strong>的持续数据勒索攻击今日扰乱了美国各地学区和大学的课程与作业，此前一个网络犯罪团伙篡改了该服务的登录页面并发布勒索要求，威胁要泄露来自近9,000所教育机构的2.75亿学生和教职员工的数据。</p> <div id="attachment_73565" style="width: 706px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73565" decoding="async" class="size-full wp-image-73565" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/shinyhunters-instructure-canvas.png" alt="" width="696" height="704" /><p id="caption-attachment-73565" class="wp-caption-text">一位读者分享的截图，显示了今天Canvas登录页面上显示的勒索信息。</p></div> <p>Canvas母公司<strong>Instructure</strong>对今天的篡改攻击作出回应，禁用了该平台。该平台被数千所学校、大学和企业用于管理课程和作业，并与学生沟通。</p> <p>Instructure本周早些时候承认了数据泄露，此前网络犯罪团伙<strong>ShinyHunters</strong>声称对此负责，并表示除非收到赎金，否则将泄露数千万学生和教职员工的数据。起初设定的支付截止日期为5月6日，但后来推迟至5月12日。</p> <p>在5月6日的<a href="https://status.instructure.com/incidents/9wm4knj2r64z" target="_blank" rel="noopener">声明</a>中，Instructure表示，截至目前调查显示，被盗信息包括“受影响机构用户的某些识别信息，如姓名、邮箱地址和学生证号，以及用户之间的消息。”该公司称，没有证据表明泄露的数据包含更敏感的信息，如密码、出生日期、政府标识符或财务信息。</p> <p>5月6日的更新指出，Canvas已完全恢复正常运行，且Instructure未在其平台上发现持续的未授权活动。“现阶段，我们认为事件已得到控制，”Instructure写道。</p> <p>然而，到5月7日（周四）中午，数十所学校和大学的学生及教职员工在社交媒体上大量发帖称，ShinyHunters的勒索要求已取代了通常的Canvas登录页面。Instructure随即下线Canvas，并用“Canvas目前正在进行计划维护。请稍后再查看。”的消息替换了门户页面。</p> <p>“我们预计很快恢复，并将尽快提供更新，”Instructure的<a href="https://status.instructure.com/incidents/m88d7ymwpzpy" target="_blank" rel="noopener">状态页面</a>上当前显示的消息写道。</p> <p>虽然ShinyHunters窃取的数据可能包含也可能不包含特别敏感的信息（ShinyHunters声称其中包括学生和教师之间数十亿条私人消息，以及姓名、电话号码和邮箱地址），但这次攻击对Instructure而言可谓雪上加霜：许多受影响的学校和大学正处于期末考试期间，长时间的宕机可能对公司造成严重损害。</p> <p>今天令无数Canvas用户看到的勒索信息建议受影响的学校自行协商赎金支付，以防止其数据被公开——无论Instructure是否决定支付。</p> <p>“ShinyHunters已经入侵Instructure（再次），”勒索信息写道。“他们没有联系我们解决问题，而是无视我们，搞了一些‘安全补丁’。”</p> <p>一位接近调查但未获授权向媒体透露的消息人士告诉KrebsOnSecurity，多所大学已联系该网络犯罪团伙商讨支付事宜。同一消息源还指出，ShinyHunters的数据泄露博客已不再将Instructure列为当前勒索受害者，并且从Canvas客户处窃取的数据样本也已移除。像ShinyHunters这样的数据勒索团伙通常只会在收到赎金或受害者同意谈判后，才会将受害者从泄露网站上移除。</p> <p>安全公司<strong>Cloudskope</strong>的创始人兼CEO <strong>Dipan Mann</strong>严厉批评Instructure在其状态页面上将今天的宕机称为“计划维护”事件。Mann表示，ShinyHunters最早于5月1日展示其已入侵Instructure，随后Instructure的首席信息安全官<strong>Steve Proud</strong>于次日宣布事件已得到控制。但Mann指出，今天的攻击至少是过去八个月内ShinyHunters第三次入侵Instructure。</p> <p>在今天的一篇博客文章中，Mann提到，2025年9月，ShinyHunters发布了数千份宾夕法尼亚大学的内部文件——包括捐赠记录、内部备忘录及其他机密材料——根据《宾夕法尼亚日报》等媒体的后续调查，这一事件部分是通过Canvas/Instructure的访问路径导致的。</p> <p>“宾夕法尼亚大学是名义上的受害者，”Mann <a href="https://www.cloudskope.com/insights/post/instructure-canvas-ransomware-attack-hits-universities-2026" target="_blank" rel="noopener">写道</a>。“Instructure是媒介。当时多数全国性媒体将此事件视为宾夕法尼亚大学特有的故事，而Instructure也将其作为客户特定问题低调处理。这种定性当时就是错误的。参照2026年5月的事件，其错误程度更加严重——现在看来，那是一次针对Instructure环境的攻击模式的计划升级，而ShinyHunters至少在八个月前就开始针对该环境进行攻击。2025年9月的宾夕法尼亚大学入侵是概念验证。2026年5月1日的事件是正式攻击。2026年5月7日的再次入侵是ShinyHunters公开证明5月2日的‘控制’并未发生。”<span id="more-73563"></span></p> <p>今年2月，ShinyHunters的一位发言人对《宾夕法尼亚日报》表示，宾夕法尼亚大学<a href="https://www.thedp.com/article/2026/02/penn-hack-donor-data-ransom-one-million-shinyhunters-gse-emai" target="_blank" rel="noopener">未能支付100万美元的赎金要求</a>。3月5日，ShinyHunters发布了从宾夕法尼亚大学窃取的461兆字节数据，包括数千份捐赠记录和内部备忘录等文件。</p> <p>ShinyHunters是一个多产且流动性强的网络犯罪团伙，专门从事数据窃取和勒索。他们通常通过语音钓鱼和社会工程攻击获得公司访问权限，这些攻击经常涉及冒充IT人员或目标组织的其他受信任成员。</p> <p>上个月，ShinyHunters从家庭安防巨头<strong>ADT</strong>处获取了550万客户的个人信息。该勒索团伙<a href="https://www.bleepingcomputer.com/news/security/home-security-giant-adt-data-breach-affects-55-million-people/" target="_blank" rel="noopener">告诉BleepingComputer</a>，他们通过语音钓鱼攻击攻破了一名员工的Okta单点登录账户，从而获得了ADT Salesforce实例的访问权限。BleepingComputer称，ShinyHunters近期声称对多起针对知名组织的勒索攻击负责，包括Medtronic、Rockstar Games、McGraw Hill、7-Eleven以及邮轮运营商嘉年华。</p> <p>据<strong>Charles Carmakal</stro