文章总结： 2026年5月，黑客组织ShinyHunters利用Canvas平台漏洞对全球9000所学校发起网络攻击，窃取3.65TB数据并篡改登录页面为勒索信，导致期末考试中断。事件暴露教育系统供应链安全盲区，泄露数据可能引发二次钓鱼攻击，凸显学生数据保护脆弱性。 综合评分： 85 文章分类： 安全大事件,数据泄露,供应链安全,教育安全,恶意软件

当勒索信出现在考场屏幕上：一场席卷全球9000所学校的网络攻击

原创

amuxiaohuo amuxiaohuo

黑客网络安全

2026年5月13日 09:06 广东

在小说阅读器读本章

去阅读

2026年5月7日，星期四，下午4时20分。

美国华盛顿大学的一名学生打开笔记本电脑，准备登录学习平台Canvas完成期末复习。屏幕上弹出的，不是熟悉的课程界面，而是一封措辞强硬的勒索信：

“ShinyHunters已再次入侵Instructure（Canvas母公司）。他们无视我们，只是打了几个’安全补丁’……你们有时间到2026年5月12日结束前，否则所有数据将被公开泄露。”

这不是电影场景，而是真实发生在全球数千所学校、数千万学生和教职人员眼前的一幕。这场由黑客组织ShinyHunters策划的网络攻击，成为迄今为止规模最大的教育系统安全事件，深刻揭示了一个残酷现实：在数字化时代，学生群体已成为网络犯罪的重点猎杀对象。

攻击始末：从悄无声息到公开勒索

事件的起点可以追溯到2026年4月25日。黑客组织ShinyHunters利用Canvas平台”Free-For-Teacher”（教师免费账号）功能中的一个安全漏洞，悄然入侵了Instructure的核心系统。

Instructure是Canvas学习管理系统（LMS）的母公司，这一平台被全球超过8000所教育机构采用，拥有逾3000万活跃用户，覆盖美国、英国、加拿大、澳大利亚、新西兰及部分欧洲国家。在美国，41%的高等教育机构以Canvas作为主要的课程管理工具。可以说，Canvas是现代数字课堂的基础设施。

攻击者的动作起初极为隐秘。他们通过被攻陷的API接口和特权凭证，系统性地窃取数据。5月1日，Instructure才首次公开承认遭遇了”网络安全事件”，并宣称已将入侵”控制住”。然而，这不过是一厢情愿的乐观。

ShinyHunters随后在勒索追踪网站Ransomware.live上发布声明，宣称已窃取3.65 TB的数据，涉及约2.75亿条记录，来自全球8809所教育机构，内容包括学生姓名、电子邮件地址、学号，以及师生之间”数十亿条私信”。他们给Instructure设定了5月6日的谈判截止日期，警告”要么付钱，要么泄露”。

Instructure选择了沉默。

于是，5月7日，攻击者发动了第二波行动，直接将约330所学校的Canvas登录页面篡改为勒索信界面，将这场幕后的数字勒索，以最戏剧性的方式搬上了所有人的屏幕。

考场里的惊魂时刻：具体受害案例

这场攻击之所以引发强烈的社会反响，在于它精准踩中了学年中最关键、最脆弱的节点——期末考试周。

密西西比州立大学：论文写完，勒索信弹出

密西西比州立大学气象学学生奥布里·帕尔默（Aubrey Palmer）的经历，成为这场事件中流传最广的亲历叙述。帕尔默刚刚完成一篇约2900字的期末考试论文，准备提交时，屏幕突然跳出一封勒索信。”我第一反应是自己被黑了，”他告诉BBC，”但仔细一看才发现，是Canvas被攻破了。教室里所有人——教授和几十名同学——屏幕上都出现了同样的信息，大家面面相觑，完全不知道发生了什么。”

密西西比州立大学随后宣布，将原定周五举行的期末考试全面延期。

宾夕法尼亚大学：临阵磨枪的复习被迫中断

宾夕法尼亚大学的一名学生向CNN描述，自己正在备考期间登录Canvas查阅资料，却突然被强制登出账号。”教授不得不临时切换到其他方式发送课程材料，”他说，”那种慌乱是真实的，谁也不知道这场攻击会持续多久，考试还算不算数。”

哈佛大学、哥伦比亚大学、普林斯顿大学、乔治城大学、罗格斯大学、肯特州立大学等数十所知名高校相继发出公告，提醒学生注意。加利福尼亚、佛罗里达、佐治亚、德克萨斯、威斯康星等十余个州的中小学区也反映受到波及。

澳大利亚：多所顶尖大学紧急禁用Canvas

澳大利亚受到的冲击尤为严重。昆士兰州教育部长约翰-保罗·兰布罗克（John-Paul Langbroek）表示，此次攻击可能影响多达2亿人的数据安全。

墨尔本大学、悉尼科技大学（UTS）、皇家墨尔本理工大学（RMIT）、格里菲斯大学、阿德莱德大学、堪培拉大学、昆士兰科技大学等多所院校宣布向受影响学生延长作业提交期限。其中，悉尼科技大学、皇家墨尔本理工大学和阿德莱德大学还采取了更为保守的策略，直接暂时关闭Canvas访问，以防范潜在的二次攻击和钓鱼诈骗风险。昆士兰教师工会随即呼吁展开调查。

ShinyHunters：一个持续进化的网络犯罪组织

要理解这次攻击的危险性，必须了解这个幕后黑手的背景。

ShinyHunters活跃于2020年以来，是当今世界最具攻击性和持续性的数据勒索组织之一。他们的攻击对象横跨多个行业，过往受害者包括：桑坦德银行（Santander Bank）、美国AT&T、谷歌、澳洲航空（Qantas）、捷豹路虎、欧盟委员会，乃至游戏公司Rockstar Games。

在攻击手法上，ShinyHunters展现出清晰的进化轨迹：

2020-2021年：大规模消费者数据库盗窃；

2024年：通过云端凭证泄露入侵Snowflake客户，涵盖AT&T等大型企业；

2025年：利用AI语音钓鱼（vishing）和OAuth令牌滥用，对Salesforce生态实施供应链攻击，受害者包括谷歌、Cloudflare等数十家科技公司；

2026年：转向教育领域，通过第三方系统漏洞一举攻陷Canvas，实现”一点突破、万校皆破”。

他们惯用的策略是”付钱或泄露”（Pay or Leak）——拒绝支付赎金的受害者，其数据将被挂在暗网公开售卖或直接公开。这次攻击中，ShinyHunters在Instructure迟迟不回应的情况下，开始逐校发送个性化勒索信，威胁各学校单独谈判，将勒索的压力从平台方转移到数千个资源有限的教育机构身上，手段愈发精准和残酷。

数据背后的隐患：泄露影响远不止考试延期

许多人以为，Canvas恢复正常就意味着危机结束。但安全专家的警告远比想象中严峻。

根据网络安全公司Halcyon的分析，此次泄露的数据包含学生和教职员工的姓名、电子邮件地址、学号，以及师生之间的内部通信记录。Instructure方面确认，密码、出生日期、政府证件号码及财务信息尚无泄露证据，但”数十亿条私信”的潜在暴露已足够令人担忧。

“泄露的数据为攻击者提供了足够的个人背景，可以针对学生、家长和教职人员发起高度定制化的钓鱼攻击，”Halcyon在其报告中警告，”攻击者可以冒充学校管理员、IT支持人员或学生事务办公室，诱导受害者进一步上当。”

换句话说，这次攻击的真正后续威胁，可能是以这批数据为弹药的第二轮精准社会工程学诈骗——而受害者浑然不觉。

事件最终以Instructure与ShinyHunters达成”协议”告终，公司声称已谈判赎金、黑客承诺销毁数据。但正如网络安全顾问斯坦豪尔（Steinhauer）所指出的：”即便犯罪分子声称已删除数据并提供’销毁证明’，也无任何可靠手段加以核实。历史一再证明，这些数据往往被留存、转卖，或用于未来的勒索行动。”

“最弱一环”：供应链安全的致命盲区

这次事件最值得反思的，是它所揭示的教育信息化深层漏洞。

ShinyHunters并没有逐一攻破8809所学校的防火墙。他们只做了一件事：入侵一个被所有学校无条件信任的中央平台。

学校在自身的网络安全上投入不菲——防火墙、终端保护、访问控制——但这些防御措施在面对供应链攻击时几乎失效。当攻击者掌握了合法凭证，其数据抽取行为在传统安全工具眼中，与正常访问别无二致。

“这次事件证明，单纯依赖外围防御，将使学校在供应链攻击面前危险地暴露，”安全机构Lumu的分析文章写道。教育机构对EdTech服务商的隐性信任，已成为数字安全的最大盲区。

#

数字校园，安全不能缺席

一所学校的期末考试，因为一封勒索信而被迫延期——这个画面，是2026年网络安全形势最具象征意义的缩影。

学生群体的数据，包含了一个人成长阶段最敏感的信息：学习记录、私人交流、身份标识。这些数据长期存储在云端平台，却往往缺乏与其重要性相称的保护机制。ShinyHunters的这次行动，用最粗暴的方式撕开了这道裂缝。

网络安全从来不是IT部门的专属议题，也不仅仅是企业的合规负担。当勒索信出现在学生的考试屏幕上，它已经成为每一个普通人必须正视的日常风险。

数字化的便利与安全的代价，终究需要一起承担。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客网络安全 amuxiaohuo amuxiaohuo《当勒索信出现在考场屏幕上：一场席卷全球9000所学校的网络攻击》