文章总结： 知名在线学习平台Canvas因教师免费账户漏洞遭黑客攻击，导致全球9000所院校2.75亿用户数据泄露及服务中断。虽官方声称已与黑客达成数据销毁协议，但仍面临钓鱼攻击等长期风险。该事件暴露了教育数字化基础设施的脆弱性，警示安全建设需与数字化发展同步。 综合评分： 83 文章分类： 数据泄露,安全大事件,数据安全,社会工程学,漏洞预警

知名在线学习平台Canvas连遭黑客两次暴击，教育数字化“跑出加速度”，安全是否跟上了步伐？

原创

NERCIS NERCIS

信息安全国家工程研究中心

2026年5月15日 18:20 北京

在小说阅读器读本章

去阅读

5月12日，据BBC、CBS等媒体报道，知名在线学习平台Canvas的母公司Instructure表示，他们与黑客达成协议，要求黑客组织删除了他们在近期网络攻击中窃取的数据。

Canvas是目前全球使用范围最广的在线教学管理系统之一，覆盖K12学校、高校以及部分培训机构。2026年5月初，Canvas突然大面积宕机，登录页面无法正常打开，黑客威胁要公布他们在此次泄露中窃取的3.5TB的学生和大学数据，勒索信中甚至附带了受影响的学校名单链接。

根据官方通报及媒体追踪，目前已确认泄露的信息有：

姓名、电子邮件地址、学生证号或用户ID；

平台内部的私信记录；

部分课程名称与选课信息。

此次网络攻击影响了美国、加拿大、澳大利亚和英国约9000所院校，波及超2.75亿用户，哈佛大学、宾夕法尼亚大学、麻省理工学院、牛津大学、斯坦福大学、多伦多大学、悉尼大学等知名高校集体中招。

此次黑客攻击事件恰逢全球高校期末周、考试季，Canvas服务中断引发了恐慌，最直接的影响就是打乱了学校的正常教学节奏。Canvas是学校日常教学活动的主渠道，很多学校几乎所有的课程资料、随堂笔记、作业提交、考试通知、成绩反馈全部绑定在Canvas上，系统突然停机使得学生不仅无法打开课件进行复习，甚至导致在线考试中断，多所学校临时将考试改为线下考试或延期考试。

Canvas被攻击事件时间线

4月29日-4月30日

Instructure（Canvas母公司）首次发现系统存在未经授权的入侵活动，其安全团队立即撤销其访问权限并修复系统漏洞，对外宣称“无重大影响”。

5月1日-5月2日

Instructure首次公开确认黑客利用漏洞入侵并造成数据泄露，称已联合第三方专业机构展开调查。Canvas部分功能进入维护模式。

5月3日

黑客组织ShinyHunters声称对此次攻击事件负责，并公布了详细的受影响的教育机构清单。

5月7日

攻击者二次入侵，在部分学校的Canvas登录页显示勒索信，要求Instructure在5月12日前进行谈判并支付赎金，否则将公开全部被盗数据。

平台紧急下线，全球大量高校无法登录，期末课程、考试、作业全面受阻，系统瘫痪近7个小时。

5月8日

Instructure更新公告，确认泄露数据范围，并陆续恢复平台访问，但部分功能仍不稳定。

多国监管部门正式介入调查，网络安全机构跟进，哈佛、MIT、哥大等顶尖高校宣布考试取消、作业延期。

5月9日-5月10日

平台基本恢复常态，部分测试环境仍在维护，多数高校恢复系统访问，但部分学校仍在进行安全排查和权限重置。

5月11日

Instructure公开承认与黑客谈判并达成和解，停止数据公开泄露并确保被盗数据被删除，和解的财务条款尚未公布。

美国众议院国土安全委员会于5月11日致信Instructure首席执行官Steve Daly，要求他于5月21日前参加简报会，讨论两起入侵事件、被盗数据、其遏制和通报工作，以及与联邦机构的协调。

5月12日

黑客组织发布新声明称数据已被销毁，受影响学校无需主动联系他们进行谈判。

据分析，黑客组织是通过教师免费账户计划的漏洞入侵了Canvas。

教师免费账户计划允许教育者无需机构验证即可创建Canvas账户，从而在课堂上使用Canvas功能。这些账户运行在与付费机构租户共享的生产Canvas基础设施上，意味着它们逻辑上分离，但由相同的系统支持。

黑客组织正是利用了这一漏洞，攻击者使用被攻破的免费账户，其访问模式与正常使用Canvas的合法教师无异。学校没有原生方式识别哪些免费教师账户访问了其机构的 Canvas租户，无论是通过合法课程集成还是暴露窗口内的恶意活动。5月8日之后Instructure关闭了该程序并轮换了特权凭证和API密钥。

系统恢复访问并不是结束，

未来或存在更广泛的网络钓鱼风险。

Instructure已经确认已与黑客组织“达成协议”， 黑客组织表示他们删除了数据，并承诺不会敲诈任何学生或机构。Instructure公司表示还收到了“数字确认”，黑客销毁了所有剩余副本。但同时，Instructure承认无法确保数据被永久删除，并表示其采取行动是出于对数据可能被公开的担忧。

外界担忧，与网络犯罪分子谈判和解可能会助长更多攻击，且无法保证数据已被删除。在以往的案件中，犯罪分子接受赎金，但谎称销毁了被盗数据，实际上是保留数据用于转售。例如，当臭名昭著的LockBit勒索软件组织遭到警方打击时，警方发现即使付款后，被盗数据仍未被删除。

安全专家普遍认为，此次事件最大的长期风险并非系统中断，而是数据泄露后引发的高度个性化的钓鱼攻击。攻击者可以利用窃取的真实姓名、课程信息和师生对话记录，伪造出极具迷惑性的邮件或消息，精准欺骗师生以窃取其凭证。

表面看，这是一场典型的数据泄露与勒索事件，但如果把时间点、平台性质和学校对Canvas的依赖程度放在一起看，它更像一次对现代教育基础设施脆弱性的集中暴露。当一套云端学习系统同时承载课程、作业、成绩、考试和师生沟通时，它就不再只是一个软件服务，而是学校日常运行的一部分。此次Canvas被攻击事件如同一面镜子，映照出全球教育数字化浪潮中共同面临的安全脆弱性问题。

近年来，我国深入实施国家教育数字化战略，接连出台《教育强国建设规划纲要（2024—2035年）》、《教育部等九部门关于加快推进教育数字化的意见》、《“人工智能+教育”行动计划》等政策文件，各地教育数字化加速推进，教学、管理、资源分发和评价体系逐渐转移至线上。

据《中国智慧教育发展报告（2025—2026）》，过去一年，中国强化顶层设计，统筹谋划推进，促进人工智能与教育深度广泛融合，开创了国家教育数字化战略行动2.0新格局。可以说，中国教育数字化已进入高速发展期。

这也意味着对我们而言，像Canvas被攻击这样的事件并非遥远的新闻，而是极具现实意义的警示：当教学、科研、管理高度依赖数字平台时，一场攻击就可能波及数百万师生。数字化提升效率的同时，也会同步放大单点失效的破坏力。

数字化程度越高，安全责任越大。我国教育数字化的规模和速度，决定了其安全防护必须同步甚至超前部署，而这也正是当前政策体系正在强化的方向。

往期阅读

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全国家工程研究中心 NERCIS NERCIS《知名在线学习平台Canvas连遭黑客两次暴击，教育数字化“跑出加速度”，安全是否跟上了步伐？》