全球知名教育平台遭勒索，有学校取消考试

“任何Instructure客户都不会因这次事故遭遇勒索。”

2026年5月11日，知名网络教育管理平台Canvas开发商Instructure公司更新遭遇网络安全事故进展。Instructure表示，网络犯罪分子已将Canvas的被盗数据归还，并发布了数据销毁的电子确认凭证。

在这份声明中，Instructure并未透露向涉事的勒索组织支付了多少赎金，但表示将进一步取证分析、加固系统安全，并对所涉数据进行全面审查。

Instructure官网披露网络安全事故进展。

这次网络安全事故波及全球近9000所教育机构，超2.75亿用户的数据被置于泄露风险中。5月11日，南都·隐私护卫队从香港生产力促进局获悉，香港也有多所高校使用Canvas系统，目前香港理工大学、香港科技大学等5所学校已就此事通报香港个人资料私隐专员公署，影响范围仍有待调查。

Canvas遭入侵，波及香港5所高校超4万师生

Instructure开发的Canvas是国外知名教育类平台，主要用于日常授课、管理成绩、查看课程笔记、提交作业等。它在全球拥有约3000万名活跃用户，业务遍布100多个国家和地区，被很多中小学和高校广泛使用。仅在北美，就有约四成的高等教育机构使用Canvas，包括哈佛大学、麻省理工学院、哥伦比亚大学等。

Canvas被用于全球多所教育机构。

今年5月7日，多所美国高校发布通告称，暂时无法使用Canvas平台。为何出现这一异常？根据Instructure官网同步的消息，2026年4月29日，已监测到Canvas系统中存在未经授权行为，随即撤销了相关的访问权限。5月7日这天，黑客篡改了部分学生和教师登录Canvas的显示页面，“出于谨慎考虑，我们暂时将Canvas下线并置于维护模式。”

当晚，Canvas平台恢复了对大多数用户的服务，并聘请专家团队展开调查。同时Instructure透露，已确认黑客利用了“教师免费账户”的相关漏洞发起攻击，现已暂时关闭这些账户，以切断攻击者使用的访问路径。

事发期间正值期末，Canvas的宕机迫使一些学校推迟或取消了考试。原本考试周已够令人紧张了，结果学校的教育管理平台还突然中断服务，这对很多老师和学生来说，是一件极其糟糕的事情——这次系统中断被指出现在“最不合时宜”的时候。

不仅如此，随之而来的数据泄露风险引发了诸多担忧。根据Instructure的声明，此次攻击造成的数据泄露包括用户姓名、电子地址、学生编号，以及用户之间的通信信息，资料总量达到3.65TB——不过密码、出生日期、身份证件信息、网上交易资料等敏感信息，暂不受波及。

在受影响的高校名单中，不乏香港高校。5月11日，南都记者从香港生产力促进局获悉，其管理的香港网络安全事故协调中心（HKCERT）就此事召开新闻发布会，介绍香港院校受Canvas事件的影响及其应对措施。

据HKCERT介绍，香港有多所院校使用Canvas系统，目前已有5家学校受到影响，它们包括香港理工大学、香港建造学院、香港科技大学、香港演艺学院、香港教育城。

HKCERT提醒，黑客可能借盗取的用户数据犯案，比如制造高度逼真的诈骗邮件、冒充他人身份，发起网络钓鱼攻击等。受影响的机构的内部资料也可能被泄露，建议采取暂停使用该平台、强化账户异常监测和网络安全防护等应对措施。

据悉，预计香港约有4万多名师生的数据存在泄露风险，这5所教育机构已报告香港个人资料私隐专员公署，具体影响范围仍有待调查。

Instructure与黑客达成协议，被盗数据已归还

这是一次精心策划的网络勒索攻击。

5月3日，一个名为“闪亮猎人”（ShinyHunters）的黑客组织声称制造了此次网络攻击事件。该组织表示，已获取来自全球约8800所学校、涉及超过2.75亿人的数据，并威胁道如果不想这些数据被泄露，必须在5月6日前支付赎金。

一开始，Instructure公司无视了赎金要求，于是该勒索组织发起了又一次的入侵，造成Canvas系统在5月7日出现大规模宕机。与此同时，其向Instructure和多所受影响的高校发布勒索威胁，要求在5月12日前给出回复。

绿盟科技集团数据安全专家刘进告诉南都·隐私护卫队，“闪亮猎人”是一个极其活跃且臭名昭著的国际网络犯罪集团，自2020年以来已造成多起影响数亿用户的攻击事件，受害者包括多家全球知名企业。

刘进说，该组织的成员以美国、英国青少年为主，他们擅长利用目标系统的安全漏洞（如云环境API漏洞）、社会工程学（如语音钓鱼 Vishing）以及针对云平台（如 Snowflake、Salesforce、GitHub）的入侵来窃取数据。

据悉，“闪亮猎人”已从早期的松散黑客团伙，演变为系统化、流程化的“勒索即服务”（RaaS/EaaS）平台，其内部有明确的专业分工，包括信息收集、社会工程学团队、自动化渗透工具开发、专职勒索谈判人以及暗网销售渠道等。

Instructure官网更新的事件进展。

为打消广大用户对数据或被泄露的不安，Instructure在5月11日宣布与“参与此次事件的未经授权人员达成了协议”，不过未透露具体支付了多少赎金。

Instructure在公司官网公布了部分协议的内容，包括数据已返回、已收到数据销毁的电子确认函、已获悉此次事件不会导致任何Instructure客户受到公开或其他形式的勒索。

“在应对网络犯罪分子时永远无法做到万无一失”， Instructure承诺将尽可能采取一切措施保障安全，如与专业的供应商合作进行取证分析，进一步加强安全防护，并对相关数据进行全面审查。

Instructure强调，此次达成的协议覆盖所有受影响的Instructure客户，因此客户无需、也不应尝试自行与黑客组织交涉。该公司透露，暂定于5月13日召开网络会议，由高层详细介绍此次网络攻击及其加强系统安全采取的措施。

至此，这场冲着全球知名教育管理平台而来的网络勒索事件，以Instructure支付赎金暂告一段落，但后续的影响恐怕还将持续发酵。

教育行业的网络攻击量激增，常选在期末和开学季

南都·隐私护卫队注意到，包括美国加州大学等在内的多所高校，提醒师生，近期对潜在的网络钓鱼攻击或可疑通信保持警惕。

对于受该事件影响的教职员或学生，HKCERT建议，留意可能利用泄露信息发起的钓鱼邮件或社交工程攻击；不要点击可疑链接或打开来历不明的附件，如果在其他平台使用了与Canvas相同的密码，最好立即更改。

这起安全事故也给全球教育行业敲响了安全警钟。刘进对南都·隐私护卫队表示，近年来，教育行业的网络攻击量激增，已成为受攻击最严重的行业之一。攻击者常选择期末季、开学季等教学关键节点发动攻击，以最大化提高勒索成功率，其攻击手段除了钻技术漏洞，还大量依赖针对师生员工的钓鱼邮件和社工攻击。

据刘进介绍，美国哈佛大学和宾夕法尼亚大学也曾遭“闪亮猎人”入侵系统，致使百万条校友信息被公开。在国内，也有多所高校及教育机构发生过教务系统、图书馆系统被入侵，导致学生个人信息泄露、遭遇电信诈骗的案例。

“教育数据包含未成年人信息，一旦泄露对个人的长期影响极大，且法律监管更严。”刘进说，教育数据维度全，涵盖从成绩、学术记录、家庭住址到健康信息等全维度个人隐私，是身份盗窃的“金矿”，而且往往与家庭、校友网络深度绑定，一次泄露可能波及数代人。

当前很多学校都在倡导智慧校园，推进数字化和AI化教学。当课堂搬到网络、日常的教学平台成为关键基础设施，教育机构如何守住安全底线？

刘进建议，从顶层设计、筑牢网络基础设施与身份权限防线、守护数据与应用安全、构建动态运营与应急保障体系等方面，筑牢智慧校园的数字安全底座。

其中，在顶层设计方面，他建议校方将安全嵌入智慧校园规划全过程，杜绝“后天补课”。通过统一规划“云、网 、边、端、数、应用”全域安全架构，划分安全域并实施隔离，建立权责清晰的归口管理机制，并严格对标《网络安全法》等法规，落实特别是针对未成年人信息保护的特殊要求。

在身份权限层面，则需建设统一身份认证平台，强制多因素认证，遵循最小权限原则，并对账号进行全生命周期管理和操作全程审计，确保“谁能进、谁能看、谁能操作”都处于可控状态。

刘进还提到，补齐物联网与终端安全短板至关重要。对智慧教室、人脸识别等物联网设备实行专网隔离、强制修改默认口令和版本升级。对办公终端和师生个人设备进行统一防护和安全准入管理，防范末端风险。

“守住智慧校园的数字安全底座，是一项系统工程，需要统筹规划、多措并举、持续投入。”刘进说。

南方都市报（nddaily）报道

出品：南都数字经济治理研究中心

采写：南都N视频记者 李玲