-
作者
-
發佈日期
2026-05-13
-
閱讀時間
5分鐘
-
字體大小
Canvas 學習管理系統母公司 Instructure 宣佈已與入侵其系統的黑客組織 ShinyHunters 達成協議,成功取回遭竊數據並獲確認資料已銷毀。這宗涉及全球逾 9,000 所院校的重大網絡安全事件現已告一段落。
入侵始末
ShinyHunters 於 2026 年 4 月 25 日入侵 Instructure 旗下 Canvas 雲端系統。Instructure 於 4 月 29 日偵測到入侵後,隨即撤銷相關存取權限。黑客利用 Canvas 免費教師帳戶環境一個與「支援工單」相關漏洞取得初始存取權,盜走 3.65 TB 數據。遭竊資料涵蓋 2.75 億名學生及教職員用戶名稱、電郵地址、課程名稱、選課資料及私訊記錄,波及全球逾 9,000 所教育機構。Instructure 強調課程內容、作業提交及密碼均未遭洩露,財務資料及政府身份證明文件亦未受影響。
二度攻擊施壓
Instructure 起初評估事件已受控制,惟 5 月 7 日出現第二波未經授權活動。ShinyHunters 利用系統中另一漏洞,竄改約 330 所院校 Canvas 登入頁面,直接向嘗試登入的學生、家長及教職員顯示勒索訊息。黑客限令 Instructure 於 2026 年 5 月 12 日前完成談判,否則公開全部被盜數據。美國加州多所大學包括 UC、CSU、USC 及 Stanford 均受波及,大批學生期末考試備考工作被迫中斷。
達成協議取回數據
Instructure 於 5 月 11 日宣佈就事件「達成協議」,取回遭竊數據並獲黑客提供「數碼銷毀確認紀錄」(shred logs)。公司表示協議保障旗下所有受影響客戶,毋須另行與黑客交涉,亦不會遭受進一步勒索。Instructure 未披露協議財務條款,惟 ShinyHunters 其後向媒體確認數據已刪除,並承諾不會再針對該公司及其客戶索取款項。公司行政總裁其後公開道歉,承認用戶理應獲得更好保障。
黑客組織背景
ShinyHunters 是以大規模入侵資料庫並勒索企業著稱的黑客組織,過往攻擊目標包括 Ticketmaster、AT&T 及 Microsoft 等知名機構。安全研究員指出被盜資料包含足夠個人背景資訊,足以讓黑客針對學生、家長及教職員發動針對性網絡釣魚攻擊,各受影響院校應即時發出警報。事件亦已通報聯邦調查局(FBI)及網絡安全和基礎設施安全局(CISA)。
方保僑:絕對可理解 但屬飲鴆止渴
香港資訊科技商會榮譽會長 方保僑認為,Canvas 最終繳附贖金取回數據,從營運現實來看,公司停運每小時都是金錢與聲譽的損失,絕對可以理解,但支付贖金往往是飲鴆止渴。 現實中,支付贖金既不保證能拿回完整數據,更無法確保黑客沒留後門;一旦開了先例,公司會被標籤為「優質客戶」,招致更頻繁的攻擊。面對系統癱瘓,最實際的做法是將該筆「贖金」轉化為「搶救資金」,即時聘請專業團隊進行系統重建與數據清洗。建議企業應該將資源放在加強網絡韌性,以專業的應變方案向客戶展示公司有能力保護數據,這才是真正止蝕並保護長遠聲譽的做法。
資料來源:The Hacker News、TechCrunch、BBC News
