ShinyHunters声称窃取Canvas 2.75亿条用户数据

教育技术公司Instructure旗下的Canvas是全球使用最广泛的学习管理系统之一。该公司于周末确认，用户个人数据在一次网络攻击中遭到泄露。勒索组织ShinyHunters已宣称对此次攻击负责，并称这是教育领域有史以来规模最大的数据泄露事件之一。

事件经过

Instructure 于5月1日（周五）首次披露了这一事件，将其描述为"由犯罪威胁行为者实施的网络安全事件"。次日，该公司更新声明，确认用户数据已遭泄露。公司表示："初步迹象显示，涉及的信息包括受影响机构用户的部分身份识别信息，例如姓名、电子邮件地址、学生证号码，以及用户之间的消息记录。"Instructure 补充称，目前尚未发现密码、出生日期、政府身份标识符或财务信息遭到泄露的证据。

Canvas Data 2 和 Canvas Beta 等部分 Canvas 服务自5月1日起进入维护状态。5月2日，Instructure 首席信息安全官 Steve Proud 表示，此次事件已"得到控制"。公司称已部署补丁、加强监控并轮换了应用程序密钥，要求客户重新授权 API 访问权限。

ShinyHunters 的指控

ShinyHunters 是一个臭名昭著的勒索组织，曾与 AT&T、桑坦德银行 和 Telus 等多起数据泄露事件有关。该组织在其数据泄露网站上列出了 Instructure，并提出了远超该公司官方披露的指控。该组织声称全球近 9,000 所学校受到影响，涉及 2.75 亿名个人的数据——包括学生、教师和员工——以及"数十亿条私信"。ShinyHunters 还声称入侵了 Instructure 的实例，并称窃取的数据集涵盖北美、欧洲和亚太地区近 15,000 家机构。该组织发布的赎金截止日期为 5 月 6 日。Instructure 迄今未公开回应该组织的具体指控。

教育领域的规律性事件

此次数据泄露是 Instructure 在八个月内遭遇的第二起网络安全事件。2025年9月，该公司披露了另一起独立泄露事件，起因是针对其 Salesforce 实例的社会工程攻击，同样与 ShinyHunters 有关。Instructure 尚未表明这两起事件是否存在关联。

Canvas 在全球被超过 7,000 所大学、K-12 学区及教育主管部门使用。此次泄露使教育行业的安全事故名单进一步扩大——PowerSchool 和 Infinite Campus 均曾发生类似事件——单一 SaaS 供应商的安全漏洞可引发连锁反应，同时波及数千家机构。目前，第三方网络安全专家和执法机构已介入持续开展的调查工作。