文章总结： 勒索团伙ShinyHunters利用Instructure系统漏洞篡改了约330所高校的Canvas登录门户，将页面替换为勒索信息，要求受影响学校在5月12日前通过网络安全咨询公司联系协商赎金，否则将泄露被盗的2.8亿条学生教职工数据。该团伙近年频繁针对云SaaS环境实施数据盗窃，采用语音网络钓鱼等手段窃取凭证入侵企业服务。Instructure已暂时下线Canvas系统进行应急处理。 综合评分： 85 文章分类： 漏洞预警,数据安全,勒索软件,应急响应,安全事件

ShinyHunters 再出手，数百高校 Canvas 登录门户遭篡改勒索

HackerNews HackerNews

安全威胁纵横

2026年5月8日 15:32 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

勒索团伙 ShinyHunters 再次入侵教育技术巨头 Instructure，这次利用漏洞篡改了数百所高校的 Canvas 登录门户。

推测e

这些被篡改的页面在下线前大约显示了 30 分钟，上面有 ShinyHunters 留下的信息，声称对早前 Instructure 的数据泄露事件负责，并威胁称若不支付赎金就泄露被盗数据。

信息警告称，Instructure 和各学校需在 5 月 12 日前联系他们协商赎金，否则学生数据将被泄露。

篡改页面内容写道：“ShinyHunters（再次）入侵了 Instructure。他们没有联系我们解决问题，而是无视我们，还做了些‘安全补丁’。”

信息还称：“如果受影响名单中的任何学校希望阻止其数据被公布，请咨询网络安全咨询公司，并通过 TOX 私下联系我们协商解决方案。在 2026 年 5 月 12 日结束前，你们还有时间，之后所有数据都将被泄露。”

BleepingComputer 了解到，威胁行为者篡改了约 330 所教育机构的 Canvas 登录门户，将标准登录页面替换为勒索信息，该勒索信息在 Canvas 应用程序中也有显示。

据称，此次篡改是由于 Instructure 系统存在漏洞，使威胁行为者能够修改登录门户。此后，Instructure 已让 Canvas 下线，以应对这起最新的网络攻击。

上周，Instructure 透露正在调查一起网络攻击事件，此前威胁行为者声称利用其 Canvas 学习管理系统，从 8809 所学校、高校和教育平台窃取了 2.8 亿条学生和教职工记录。

ShinyHunters 团伙随后告诉 BleepingComputer，被盗数据包括用户记录、私人消息、注册数据及其他据称通过 Canvas 数据导出功能和 API 收集的信息。

Instructure 证实攻击期间数据被盗，但表示仍在调查该事件。

BleepingComputer 多次就此次攻击向 Instructure 提问，包括今日询问的是否计划通知学生和教职工数据泄露事件，但截至目前，邮件均未得到回复。

Canvas 是高等教育和 K – 12 教育环境中使用最广泛的学习管理系统之一，帮助学校管理课程作业、作业布置、评分以及学生与教师之间的沟通。

1

ShinyHunters是谁

自 2018 年以来，ShinyHunters 这个名字一直与众多实施数据泄露的威胁行为者相关。

今年，使用 ShinyHunters 之名的威胁行为者已成为全球范围内实施数据盗窃和勒索攻击最为频繁的组织之一。

他们主要瞄准 Salesforce 及其他云软件即服务（SaaS）环境，与越来越多涉及谷歌、思科、PornHub 及在线约会巨头 Match Group 等公司的数据泄露事件有关。

该勒索团伙通常入侵第三方集成公司，并使用窃取的身份验证令牌访问相关的 SaaS 环境并窃取客户数据。

这些威胁行为者还以针对 Okta、微软和谷歌单点登录（SSO）账户进行语音网络钓鱼（vishing）攻击而闻名，他们冒充信息技术支持人员，诱骗员工在网络钓鱼网站上输入凭证和多因素身份验证（MFA）代码。

正如 BleepingComputer 最先报道的那样，ShinyHunters 组织最近还采用了设备代码语音网络钓鱼攻击来获取微软 Entra 身份验证令牌。

在窃取凭证和身份验证码后，威胁行为者劫持单点登录账户，入侵 Salesforce、微软 365、谷歌 Workspace、SAP、Slack、Adobe、Atlassian、Zendesk 和 Dropbox 等相关企业服务。

虽然 ShinyHunters 团伙成员实施了众多攻击，但他们也作为 “勒索即服务” 组织运作，代表其他威胁行为者进行勒索，以换取赎金分成。

已有多起与 ShinyHunters 相关的逮捕行动，包括与 Snowflake 数据盗窃攻击、PowerSchool 数据泄露以及 Breached v2 黑客论坛运营有关的嫌疑人。

然而，尽管有这些逮捕行动，各公司仍不断收到署名 “我们是 ShinyHunters” 的勒索邮件。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《ShinyHunters 再出手，数百高校 Canvas 登录门户遭篡改勒索》