文章总结： 美国教育巨头Instructure遭ShinyHunters勒索攻击，声称窃取2.8亿条师生数据。攻击者篡改Canvas登录页勒索致平台紧急下线，数千校期末教学大乱。Instructure响应迟缓加剧事态，部分高校疑似私下谈判。事件凸显教育系统过度依赖单一平台及防社工薄弱，建议强化多因素身份验证与应急响应机制，防范语音钓鱼等社会工程学攻击。 综合评分： 70 文章分类： 数据泄露,安全大事件,威胁情报,社会工程学,应急响应

网络攻击引发美国校园大混乱：2.8亿条数据泄露，学生课堂、作业与期末考试全部被打乱

安全内参编译 安全内参编译

安全内参

2026年5月8日 17:29 北京

在小说阅读器读本章

去阅读

关注我们

带你读懂网络安全

学习管理平台Canvas母公司、美国教育技术巨头Instructure近期发生重大网络安全事件，数天之内疑似屡次遭遇网络入侵；

攻击者声称窃取了2.8亿条学生和教职员工相关的记录，后又篡改Canvas平台登录页面内容以实施数据勒索威胁；

而Instructure内部安全响应不力、应对迟缓，进一步放大了事件影响。

前情回顾·教育行业网络威胁态势

• 这个学校遭遇勒索攻击，5000名学生被迫停课4天
• 河南一高校泄露个人信息被通报，内部紧急通知整改
• 重大事故！美国超千万中小学生个人数据疑似泄露
• 电脑遭境外黑客组织远控植入木马，重庆市一学校被罚

安全内参5月8日综合消息，数千所美国学校和大学使用的学习管理系统Canvas登录页被篡改为数据勒索信息后紧急下线。正值学生备考期末，课堂与作业安排被打断，这次中断在校园内引发混乱，也再次凸显教育体系对技术平台的依赖。

据悉，Canvas母公司、美国教育技术巨头Instructure近期发生重大网络安全事件，数天之内疑似屡次遭遇网络入侵，攻击者声称窃取了2.8亿条学生和教职员工相关的记录，后又篡改Canvas平台登录页面内容，以实施数据勒索威胁。而Instructure内部安全响应不力、应对迟缓，进一步放大了事件影响。

Instructure是一家云端教育科技公司，以Canvas学习管理系统最为知名。学校和大学通常用它来管理课程、作业、评分和沟通。

疑似2.8亿条学生教职数据泄露，

官方未披露具体数量

上周五（5月1日），Instructure 披露其正在调查一起网络攻击，随后确认遭遇了数据泄露，用户姓名、邮箱地址和私信内容在事件中暴露。

勒索团伙 ShinyHunters 宣称对这起攻击负责，并称其从 8809 所高校、学区和在线教育平台，窃取了涉及学生、教师和员工的 2.8 亿条记录。

图：ShinyHunters 泄露站点上的 Instructure 条目

网络犯罪组织公布了一份名单，列出据称受此次攻击影响的八千多个学区、大学和教育平台，并向媒体分享了各机构对应的记录数量。名单中各教育机构对应的记录量从数万到数百万不等。

ShinyHunters称，数据是通过 Canvas 的数据导出能力被窃取的，包括 DAP 查询、provisioning 报告和用户 API；他们称共收集了数百 GB 的用户记录、消息和选课数据。

部分大学前几天已开始发布有关潜在影响的声明。

“科罗拉多大学已注意到涉及 Instructure（Canvas 母公司）的数据泄露。Canvas 是我们的学习管理系统。这次被报告的数据泄露是一次全国性事件，影响多个机构。”科罗拉多大学博尔德分校警示称。

“截至目前，罗格斯大学尚未收到任何直接影响本校的通知。Canvas 目前仍对罗格斯教职员工和学生保持可用并正常运行。”罗格斯大学表示。

“目前调查正在进行，以确定事件具体经过及受影响系统。蒂尔堡大学学生和员工数据是否受到影响尚未确认。我们已向供应商进一步提问以获取更清晰信息。”蒂尔堡大学称。

图：Instructure持续更新调查进度

本周三（5月6日），Instructure 发布声明表示，调查目前显示被盗信息包括“受影响机构用户的某些身份识别信息，例如姓名、电子邮件地址、学生 ID 编号，以及用户之间的消息”。公司称未发现证据表明泄露数据包含更敏感信息，如密码、出生日期、政府身份标识或金融信息。

Canvas 再次被攻破，

所有用户都收到了数据勒索威胁

本周四（5月7日），勒索团伙 ShinyHunters 可能再次攻破了 Instructure，这次他们对 Canvas 平台的学校登录页面进行了篡改。

对被篡改门户的检查显示，黑客注入了一个 HTML 文件，修改了登录界面，让其显示自己的信息。

该信息称，“ShinyHunters 已经（再次）入侵 Instructur，他们没有联系我们解决问题，而是无视我们并做了一些‘安全补丁’。”如果 Instructure 不“协商达成和解”，黑客将在 5 月 12 日公开被盗数据。

Instructure 公司对这次的篡改攻击作出响应，临时关闭了平台。

该平台被数千所学校、大学和企业用于管理课程、作业并与学生沟通，由此引发了报道开头的混乱情况。许多受影响学校和大学正值期末考试期间，若长时间停机，可能对该公司造成高度损害。

大量学校公告称受影响，

部分或已联系勒索组织

已报告受到影响的高校包括宾夕法尼亚州立大学、威斯康星大学麦迪逊分校、哥伦比亚大学、加州大学洛杉矶分校、西北大学、芝加哥大学以及伊利诺伊大学等。

宾州州立大学在给学生的通知中表示，目前“没有人可以访问”Canvas，且“预计未来 24 小时内”不会完成“修复”。该校还称，其 Pollock 测试中心原定周四和周五进行的所有考试均已取消。

哈佛大学学生报称，该校系统同样出现中断。部分公立学区也在安抚家长情绪，例如华盛顿州斯波坎官员写道，他们“尚未发现此次泄露中包含任何敏感数据”。

勒索信息还建议受影响学校“自行协商赎金”，以阻止本校数据被公开，而不是等待 Instructure 是否选择支付。

一名接近调查、但未获授权对媒体发声的消息人士透露，已有多所大学就付款事宜接触该网络犯罪组织。

该消息人士还指出，ShinyHunters 的数据泄露博客目前不再将 Instructure 列为在勒索受害者，先前展示的 Canvas 客户数据样本也被移除。像 ShinyHunters 这样的数据勒索团伙，通常只会在收到勒索款，或受害方同意谈判后，才会从泄露站点移除受害者信息。

图：Instructure称Canvas服务已恢复

周四深夜，Instructure 在其官网状态日志中通知称，Canvas“目前已对大多数用户恢复可用”。

ShinyHunters主要实施社工攻击，

且屡屡攻击得手

ShinyHunters 是一个高频作案、结构流动的网络犯罪组织，专门从事数据窃取与勒索。其常见入侵方式是语音钓鱼与社会工程攻击，通常会冒充 IT 人员或目标组织内其他受信任成员。

上个月，ShinyHunters 从家庭安防巨头 ADT 窃取了 550 万名客户的个人信息。该勒索团伙声称，他们通过语音钓鱼攻破一名员工的 Okta 单点登录账户，继而访问了 ADT 的 Salesforce 实例。

ShinyHunters 近期还宣称对多起面向知名机构的勒索攻击负责，包括 Medtronic、Rockstar Games、McGraw Hill、7-Eleven 以及邮轮运营商 Carnival。

谷歌旗下 Mandiant 咨询的首席技术官 Charles Carmakal 表示，针对 Canvas 客户的攻击，只是 ShinyHunters 近期发起的几场大型网络犯罪行动之一。Carmakal 拒绝就 Canvas 事件作具体评论，但称“目前正在发生多条并行且彼此独立的 ShinyHunters 入侵与勒索行动线。”

安全公司 Cloudskope 的CEO Dipan Mann 表示，下一步走向在很大程度上取决于 Instructure 的客户，也就是为 Canvas 付费的大学、K-12 学区及教育主管部门，是选择施压追责，还是选择低调消化这次泄露。

“教育供应商事故的历史显示，阻力最小的路径通常是后者，”他总结道。

参考资料：综合消息

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《网络攻击引发美国校园大混乱：2.8亿条数据泄露，学生课堂、作业与期末考试全部被打乱》