全球高校崩溃！上课软件Canvas被黑，2.75亿条数据泄露，留子狂喜：不用期末考试了？

本周，一场前所未有的网络风暴席卷了全球留学生最熟悉的在线学习平台——Canvas。正值期末周，无数学生正一边赶着提交作业，一边焦虑地翻阅复习资料，然而黑客偏偏选择在这个节骨眼上发难。

不仅窃取了多达2.75亿用户的海量数据，还直接将勒索信息挂在了登录页面上：“ShinyHunters已再次入侵Instructure。他们无视我们，只打了几个‘安全补丁’。如果任何学校希望阻止数据泄露，请通过TOX私信联系我们谈判。”

这一事件波及美国乃至全球近9000所大学，导致师生们在关键时刻集体“见证历史”。

01

Canvas：

留学生“生命线”的崩塌

Canvas是许多留学生再熟悉不过的名字。它由美国Instructure公司打造，自2011年上线以来，便以惊人的速度在全球范围内推广，如今已为众多大学和学生提供支持。

作为一款功能全面的教学管理平台，Canvas针对教师和学生分别设计了差异化的使用界面，让教与学都变得更加高效。对学生来说，它就像一位可靠的学习助手，可以完成查看课程资料、提交作业、参加考试、查询成绩乃至参与讨论等日常任务；教师则能借助它发布课程内容、布置作业、设计考试、撰写评语并管理学生分组。正因这种双向适配的设计，Canvas远远不只是一个学习工具——它几乎是留学生学习生活中的“生命线”。

目前，北美约有41%的高等教育机构在使用Canvas，哈佛、MIT、斯坦福等名校赫然在列，国内不少大学以及香港地区的高校也深度依赖它。可以说，只要你留过学（且学校使用Canvas），就一定能深切体会到它在整个学习周期中的核心地位。

然而，就是这样一个承载了无数留学生“赶due”和“备考”重任的平台，却在最关键的时刻，被黑客无情地“攻陷”了。

从4月30日黑客开始静默抽取数据，到5月7日勒索信息直接“登堂入室”，这期间，3.65TB的数据，包括姓名、邮箱、学号、私信等，全部被黑客打包带走。虽然Instructure表示没有证据显示密码、出生日期或财务信息泄露，但想想看，这可是相当于1000小时高清视频的数据量啊！

Canvas大劫案数据一览：

• 2.75亿 受影响用户数

• 8,809 受波及院校数

• 3.65TB 被盗数据体量

这次攻击的幕后黑手，是一个名为ShinyHunters的松散黑客团伙。他们不是什么国家级黑客，而是一群精通云系统漏洞的英美年轻人。他们没有公司，没有办公室，全靠加密通讯协调行动，专门盯着大型平台下手，得手后进行勒索。他们的“战绩”包括Ticketmaster、Google、欧盟委员会、ADT家庭安全系统，甚至GTA母公司Rockstar Games……

更令人震惊的是，这已经是他们在8个月内第二次入侵同一家公司Instructure。这不禁让人浮想联翩：难道是曾经被Canvas“折磨”过的学霸，励志要翻身做主，给Canvas一个“教训”？

ShinyHunters的手法也颇具“新意”。他们不玩好莱坞式的“狂敲键盘”，而是采取更隐蔽的“供应链攻击”。通过发现Instructure云环境中的API漏洞，悄悄进入系统，再利用Canvas自带的数据导出功能大批量抽取用户记录。

当Instructure发现并试图修补漏洞时，黑客直接篡改了Canvas的登录页面，将勒索信息公之于众： “他们没有联系我们解决问题，并进行了‘安全补丁’，如果受影响名单中的任何学校有意阻止其数据的泄露， 请通过TOX私信联系我们谈判。在一切信息被泄露之前，你仍有截至2026年5月12 日当天的时间可供利用。

Instructure仍需在2026年5月12日(截止日期)前联系我们。”

（被黑客攻击后的Canvas页面）

不仅如此，他们还向各学校发出单独勒索，例如宾大就收到了高达100万美元的赎金要求。

这种“双轨勒索”策略，一方面逼迫平台方Instructure支付赎金，另一方面也向各大学施压，让它们为了保护自身数据而单独谈判。这种操作，简直是把“甲方爸爸”和“乙方爸爸”都拿捏得死死的。

03留学生“奇葩反应”大赏

面对这场突如其来的“Canvas大劫案”，留学生们的反应可谓五花八门，精彩纷呈！

“ 原本11th要交作业，还一笔没动，今天网站就被黑了 。 ” 这种“劫后余生”的庆幸，大概只有在期末周的留学生才能体会。毕竟，相比数据泄露，眼前的due才是头等大事。

有的学生更是思路清奇，为了名正言顺地逃作业、躲考试，直接倒戈开始替黑客说话了，对着自家学校苦苦哀求：“我求求你了墨大你别交钱。”仿佛只要学校不掏赎金，期末就能原地消失。

更有意思的是，评论区居然冒出了这种画风：“黑客给我把GPA改高点好吗？”下面还跟了一长串许愿的学生，仿佛把黑客当成了赛博许愿池，就差往里扔硬币了。

当然，还有另一拨同学就没那么“幸运”了：“ 当时正在考试，突然就崩了。” 这种“临门一脚”被打断的痛苦，简直是人间惨剧。

最慌的，其实是Canvas作弊群， Reddit上早有爆料，有同学以为Canvas私信完全保密，其实校方必要时可调取查看。那些年偷发的Discord作弊邀请、协调答案的记录……黑客说全拿到了！这下，那些在Canvas私信里“搞小动作”的同学们，估计要集体“社死”了。

有学生借势发起了灵魂拷问：“下次在Canvas私信说悄悄话之前，先想一想这条消息有没有准备好‘公开见人’？”

当然，也有不少同学在焦虑中寻找“生机”：“黑客加油好不好，直接一直黑到final结束。”

别人面对黑客攻击，是在经历一场“渡劫”，而留学生们，却硬是把这出“灾难”演成了期末限定喜剧，大家一边崩溃，一边玩梗，评论区里许愿、求情、哭考试崩盘，样样不落。

把史诗级的网络事故，拧成一场专属留学生的段子手大赛，这份苦中作乐的精神，恐怕也只有留学生能懂。

04数据泄露的影响：精准诈骗与隐私边界

尽管Instructure表示密码等敏感信息并未外泄，但姓名、邮箱、学号以及私信内容的曝光，依然带来了不可忽视的潜在风险。

对诈骗分子而言，掌握了学生的真实姓名、学号、邮箱，甚至通过私信了解到其课程、专业和社交圈，就等于获得了“量身定制”的骗局素材，无论是杀猪盘还是钓鱼诈骗，都会因此变得更加精准、更具迷惑性。尤其是那些初到异国他乡的留学生，防范意识相对较弱，一旦落入精心设计的骗局，后果往往难以预料。

对大学而言，如何在教学便利与数据安全之间找到平衡，正成为一个长期的挑战。频发的网络攻击不仅损害学校声誉，还会直接影响学生的学习体验，甚至危及他们的人身和财产安全。因此，学校在选择第三方平台时，必须对其安全防护能力进行更为严格的审查。

这次事件再次为我们敲响了警钟，切勿在课程平台或任何网络空间中随意透露过多个人生活细节。收到自称同学、老师或校方的可疑信息时，务必通过官方渠道二次核实。不轻信、不转账、不点击来路不明的链接。只有每个人都提高防范意识，才能最大程度降低因信息泄露而带来的实际伤害。

05留学生，我们能做什么？

面对这场数字风暴，作为留学生，我们并非束手无策。以下是一些实用建议：

1. 警惕钓鱼邮件和诈骗信息：

黑客最擅长利用泄露的真实姓名和学号发送定向诈骗。任何冒充“Canvas官方”或“学校IT部门”的邮件，要求你点击链接“重新登录”或“验证身份”的，都务必提高警惕。切勿点击可疑链接！

2. 密切关注学校通知：

学校会通过官方渠道发布关于此次事件的最新进展和应对措施。请务必关注学校邮箱，若发现异常登录立即修改密码。

3. 备份重要学习资料：

期末周的同学，如果复习资料全在Canvas上，这次事件无疑是当头一棒。养成定期备份重要学习资料的习惯，是应对此类突发状况的有效方式。如果Canvas暂时无法访问，及时将作业打包发送邮件给教授，并保留好时间戳和邮件记录，以证明你按时完成。

在数字时代，我们的个人信息就像是散落在互联网上的珍珠，看似微不足道，却能被黑客串联起来，编织成一张巨大的风险之网。

Canvas大劫案，不仅仅是一次网络安全事件，更是对我们数字生活的一次“大考”。它提醒我们，在享受科技便利的同时，也必须时刻保持警惕，保护好自己的数字身份和隐私。

你们学校的Canvas还能用吗？欢迎在评论区留言，和我们一起探讨！

多说一句：

微信更新了推送机制，很多小伙伴反馈收不到更新，这里建议大家将我们的公众号加一个星标★，以免错过推送哦！