-
作者
-
發佈日期
2026-05-11
-
閱讀時間
8分鐘
-
字體大小
ShinyHunters 攻擊再度影響 Canvas 學習管理系統。正值北美大學期末考週,多間院校被迫延後或取消網上考試。Instructure 證實於 2026 年 5 月 7 日發現同一安全事件下的新增未授權活動。部分學生及教職員登入頁面被竄改,因此一度將 Canvas 轉入維護模式。
Instructure 旗下的 Learning Management System(LMS,學習管理系統)名為 Canvas。大學常用來管理課程教材、成績、資訊、測驗及網上考試。事件嚴重性除了資料外洩風險,也因為攻擊直接影響大學期末考及功課截止期,令教學營運即時癱瘓。
4 月底已偵測未授權活動 5 月 7 日登入頁再被竄改
Instructure 表示公司在 4 月 29 日偵測到 Canvas 內有未授權活動,已即時撤銷相關存取權並展開調查。到 5 月 7 日攻擊者再度修改部分登入後頁面。公司因安全考慮將 Canvas 暫時下線。官方其後確認攻擊路徑與 Free-For-Teacher 帳戶相關;Free-For-Teacher 是 Canvas 提供予教師試用或免費使用的帳戶類型。
ShinyHunters 在竄改頁面中聲稱 Instructure 未有回應談判,同時要求受影響學校在 5 月 12 日限期前以 TOX 通訊工具聯絡,否則公開資料。Reuters 報道指出,ShinyHunters 聲稱事件牽涉近 9,000 間學校。資料包括學生姓名、電郵及私人訊息等;不過相關外洩規模屬黑客說法,Instructure 尚未完成逐項驗證。
期末考週遇上 Canvas 斷線 UIUC、Baylor、UMass Dartmouth 被迫改期
Canvas 斷線時間正值北美多間大學期末考週。影響由資料保安擴大至教學安排。AP 報道提到,University of Massachusetts Dartmouth 延後原定星期五及星期六考試。University of Illinois 亦延後星期五至星期日所有考試及功課,包括不使用 Canvas 的課堂,期望能保持安排一致。
Inside Higher Ed 亦報道,Baylor University 將原定星期五的期末考延至下星期四。Arizona State University 則取消星期五及星期六所有在 Canvas 上舉行的考試。這些安排反映 LMS 已不只是教材平台,更是大學評核、提交功課及師生通訊的核心基建。
Instructure 稱 Canvas 已恢復 但 UC 系統仍按風險分階段重開
Instructure 在 5 月 9 日更新中表示 Canvas 已全面恢復使用,並稱外部鑑證夥伴未發現攻擊者仍擁有平台存取權。公司亦已暫停 Free-For-Teacher 帳戶、撤銷受影響憑證及 access token、輪換內部金鑰,並加強監控。
雖然系統恢復,但部分大學仍採取較保守做法。University of California 系統 5 月 7 日曾要求所有 UC 校區暫時封鎖或重新導向 Canvas 存取,並表示要在確認系統安全後才恢復。5 月 8 日更新則改為由各校按營運需要及風險評估決定重開時間。
受影響資料包括帳戶與訊息 密碼及財務資料暫未見外洩證據
Instructure 指出已知受影響資料欄位包括用戶名稱、電郵地址、課程名稱、註冊資料及訊息。核心學習資料如課程內容、提交作業及登入憑證未被確認受影響。公司亦表示截至目前調查,未發現 5 月 7 日新增活動期間有資料被取走,但調查仍在進行。
項目目前已知情況:
事件時間:4 月 29 日首次偵測;5 月 7 日登入頁被竄改
攻擊者:ShinyHunters 聲稱負責
黑客聲稱規模:近 9,000 間學校、約 2.75 億人資料(未獲完整確認)
Instructure 確認受影響欄位:用戶名稱、電郵、課程名稱、註冊資料、訊息
暫未見證據受影響:密碼、核心課程內容、提交作業、財務資料
最新狀態:Canvas 已恢復;Free-For-Teacher 帳戶暫停
香港院校啟示:SaaS 教學平台已成單點風險
香港大學及中小學同樣高度依賴雲端教學平台。Canvas 事件顯示風險不一定來自校內系統,而可能來自共同使用的 SaaS 供應商。對本地院校而言,關鍵不只是要求供應商修補漏洞,而是要準備離線評核方案、匯出成績冊、備份課程材料,並預先界定平台停用時的考試改期及通知流程。
下一步要觀察 Instructure 完成客戶級別鑑證報告後,會否確認實際受影響院校及用戶規模。5 月 12 日黑客限期亦是判斷資料是否被公開的關鍵時間點。
資料來源:
Instructure, Reuters, AP News, University of California, Inside Higher Ed
