Canvas 数据泄露扰乱全国学校和学院

Source: Krebs on Security

Instructure的初步回应

• Instructure (NYSE: INST) 在被篡改后禁用了平台。
• 本周早些时候，公司在网络犯罪组织 ShinyHunters 宣称负责后确认了数据泄露，并警告称除非支付赎金，否则将泄露数千万学生和教职员工的数据。
• 原始付款截止日期为 5月6日，后延至 5月12日。

被盗数据声明（5月 6日）

在 5 月 6 日的声明中，Instructure 表示迄今为止的调查显示，被盗信息包括“受影响机构用户的某些身份信息，如姓名、电子邮件地址和学生证号，以及用户之间的消息”。
公司未发现任何证据表明被泄露的数据包含更敏感的信息，如密码、出生日期、政府身份证件或财务信息。

• 5 月 6 日的更新还指出 Canvas 已全面运行，且 Instructure 未发现任何持续的未授权活动。
• “在此阶段，我们相信事件已得到遏制，”公司写道。

重新攻击（5 月 7 日）

截至星期四（5 月 7 日）中午，数十所学校和大学的学生和教师报告称，ShinyHunters 的勒索要求已取代了常规的 Canvas 登录页面。对此，Instructure：

1. 将 Canvas 下线。

2. 用以下信息替换门户页面：

   “Canvas 正在进行计划维护。请稍后再回来查看。”

3. 在其状态页面更新为：

   “我们预计很快就会恢复，并将尽快提供更新。”
   (Status page link)

向用户显示的勒索信息

“ShinyHunters 已经再次入侵 Instructure。它们没有与我们联系以解决问题，而是忽视我们并进行了一些‘安全补丁’。”

该信息建议受影响的学校自行协商勒索付款，以防止其数据被公开，无论 Instructure 是否决定付款。

Additional Context & Commentary

• Data content: ShinyHunters 声称被窃取的数据包括数十亿条私人信息，还包括姓名、电话号码和电子邮件地址。
• Timing: 许多受影响的机构正处于期末考试期间，长时间的服务中断会造成特别严重的损害。
• Victim negotiations: 一位接近调查的消息人士（未获授权向媒体发言）告诉 KrebsOnSecurity，已有几所大学主动联系 ShinyHunters 商议付款。同一消息人士指出，ShinyHunters 泄露博客已不再将 Instructure 列为当前的勒索受害者，并且已删除了来自 Canvas 客户的样本数据——这通常是付款或谈判达成后的行为。

Industry Reaction

Dipan Mann，安全公司 Cloudskope 的创始人兼首席执行官，批评 Instructure 在其状态页面上将今天的故障标记为“计划维护”。

• Mann 指出，ShinyHunters 首次在 5 月 1 日 展示了一次漏洞，促使 Instructure 的 CISO Steve Proud 在次日宣布已遏制该事件。
• 他补充说，今天的攻击是过去八个月中 Instructure 至少 第三次 被 ShinyHunters 入侵。

Historical Breach (September 2025)

在一篇博客文章中，Mann 说明，2025 年 9 月，ShinyHunters 通过 Canvas/Instructure 中介的访问路径泄露了数千份宾夕法尼亚大学的内部文件（捐助者记录、内部备忘录等）。

“Penn 是被点名的受害者。Instructure 是实现机制。大多数全国媒体将此事件视为 Penn 的特定故事，而 Instructure 则悄悄将其处理为客户特定事务。当时的这种框架是错误的。鉴于 2026 年 5 月的事件，这种框架显得更加错误——现在看来，这是一种有计划的攻击模式升级，ShinyHunters 在此之前至少已针对 Instructure 的环境工作了八个月。2025 年 9 月的 Penn 泄露是概念验证。2026 年 5 月 1 日的事件是正式投产。2026 年 5 月 7 日的再次妥协是 ShinyHunters 公开表明 5 月 2 日的‘遏制’并未真正发生。”
—Mann’s blog post

Prior Penn Ransom Demand

• 2 月，ShinyHunters 的一位发言人告诉 The Daily Pennsylvanian，Penn 未支付 100 万美元的勒索要求。
• 3 月 5 日，ShinyHunters 发布了 461 MB 的被盗 Penn 数据，其中包括捐助者记录和内部备忘录。

About ShinyHunters

ShinyHunters 是一个 pro‑extortion 组织，通常在收到付款或受害者同意谈判后才会从其泄露站点中移除受害者。他们的活动一再针对 Instructure 的 Canvas 平台，形成了泄露、声称已遏制以及随后再次被攻破的模式。

ShinyHunters 勒索行动

一个多产且灵活的网络犯罪组织，专门从事数据窃取和勒索。他们通常通过语音钓鱼和社会工程攻击获取公司访问权限，这些攻击常常冒充 IT 人员或目标组织的其他可信成员。

• 上个月，ShinyHunters 从家庭安防巨头 ADT 那里获取了 550 万 名客户的个人信息。该勒索组织在接受 BleepingComputer 采访时称他们通过一次语音钓鱼攻击，获取了一名员工的 Okta 单点登录账户，从而突破了 ADT 的 Salesforce 实例。
• BleepingComputer 报道，ShinyHunters 最近声称对多起针对高调组织的勒索攻击负责，其中包括 Medtronic、Rockstar Games、McGraw Hill、7‑Eleven 以及邮轮运营商 Carnival。

Canvas 客户的攻击只是 ShinyHunters 目前发起的多起大型网络犯罪行动之一，Google 旗下 Mandiant Consulting 的首席技术官 Charles Carmakal 说。Carmakal 对 Canvas 违规事件未作具体评论，但表示：

“目前正有多个同步进行且相互独立的 ShinyHunters 入侵和勒索行动。”

Cloudskope 的 Mann 表示，接下来会发生什么在很大程度上取决于 Instructure 的客户——即为 Canvas 付费的大学、K‑12 学区和教育部——是选择施压还是悄然吸收这次违规。

“教育供应商事件的历史表明，阻力最小的路径往往是第二种选择，”他总结道。