文章总结： 2026年5月ShinyHunters利用InstructureCanvas的教师免费账户漏洞入侵平台，窃取姓名、邮箱、学生ID及私信。攻击窗口期为4月30日至5月7日，Instructure关闭该计划并轮换API密钥，建议学校监控钓鱼攻击并评估免费账户使用。事件揭示多租户SaaS中免费增值模式的验证漏洞与隔离风险。 综合评分： 85 文章分类： 漏洞分析,数据泄露,威胁情报,安全建设,应急响应

ShinyHunters入侵Instructure Canvas LMS

Khan安全团队

2026年6月9日 16:01 海南

在小说阅读器读本章

去阅读

2026年5月初，Instructure确认其Canvas学习平台遭到入侵，此前该公司于5月1日检测到未经授权的活动。这是Instructure在八个月内遭受的第二次ShinyHunters攻击。2025年9月的攻击事件利用社交工程手段入侵了Salesforce业务系统。2026年5月的攻击事件则利用了“教师免费账户”计划，直接入侵了Canvas平台本身。此次攻击的窗口期为2026年4月30日至5月7日。Instructure已确认泄露了姓名、电子邮件地址、学生ID以及部分私人信息。学校必须轮换API凭证，监控个性化网络钓鱼攻击，并评估其环境中“教师免费账户”的使用情况。

2026年5月1日，Instructure公开确认其Canvas学习管理系统存在未经授权的活动，该活动于2026年4月29日被发现。ShinyHunters于2026年5月3日声称对此事负责，并发起公开勒索活动，最初设定的最后期限为5月7日，后延长至5月12日。Instructure于5月7日将Canvas、Canvas Beta和Canvas Test下线进行调查，并在永久关闭教师免费账户计划后于次日恢复服务。据一些报告显示，部分用户可能已经或正在经历服务质量下降或机构层面的临时性本地封锁。

Instructure 确认，未经授权的攻击者利用了与教师免费账户相关的漏洞。该公司已撤销了相关特权凭证，轮换了 API 密钥，并联系了取证调查人员和执法部门。已确认泄露的数据包括姓名、电子邮件地址、学生 ID 号以及 Canvas 用户之间的部分私人消息。Instructure 表示，没有证据表明密码、出生日期、政府身份识别信息或财务信息遭到泄露。

ShinyHunters 声称其掌握了 3.6 TB 的数据，涵盖约 2.75 亿用户，涉及 9000 所学校；然而，Instructure 尚未证实这些数据。TechCrunch 报道称，受影响机构的登录页面遭到篡改，但 Instructure 尚未就篡改所需的写入权限范围做出官方确认。受影响的学校包括宾夕法尼亚大学（30.6 万名成员）、哈佛大学、麻省理工学院、牛津大学、北卡罗来纳大学系统、多所密苏里州高校、夏洛特地区的中小学学区、罗格斯大学和北卡罗来纳州立大学，以及德克萨斯州、加利福尼亚州和其他州的某些学区。此次事件的影响范围还波及到澳大利亚和欧盟的教育机构。

这是 ShinyHunters 在短短八个月内第二次入侵 Instructure 的基础设施。2025 年 9 月的事件利用社交工程手段攻击了 Salesforce 环境。Instructure 当时声明，Canvas 产品数据并未被访问，泄露的信息主要是公开的业务联系方式。这两起事件代表了针对不同基础设施的不同攻击类型。

Bitdefender 的威胁情报和公开报告显示，ShinyHunters 是一个以勒索服务为核心的犯罪团伙，其惯用手段是语音钓鱼和社会工程，以获取初始访问权限。2026 年的攻击活动涉及 Udemy、Figure 和 Instructure。2025 年末的一次攻击活动声称，多个客户环境中的 15 亿条 Salesforce 记录遭到入侵。

它是如何被利用的

ShinyHunters在八个月内两次攻击Instructure，但攻击面却截然不同。2025年9月的攻击是针对Salesforce业务系统的社会工程攻击——这些是外围基础设施，不涉及Canvas产品数据。2026年5月的攻击则是利用“教师免费账户”计划，直接攻击Canvas平台，该平台存储着机构课程数据、学生信息和私人通信内容。该供应商的漏洞并非单一弱点造成的，而是一系列防御不足的相邻系统，这些系统之间的信任边界薄弱，远不及它们所保护数据的敏感性。

免费教师账户是 Canvas 生产环境的租户，注册流程较为便捷。教师无需机构验证即可创建账户，并获得 Canvas 的各项功能用于课堂教学。这些账户与付费机构租户共享基础设施——相同的平台、相同的数据存储，逻辑上相互隔离，但运行在共享的后端系统上。这种架构选择在多租户 SaaS 模式中很常见（在这种模式下，多个客户共享相同的软件基础设施，数据隔离通过配置而非物理隔离来实现），如果实施得当，租户隔离可以防止一个客户的安全漏洞影响其他客户。然而，当验证漏洞演变为攻击漏洞时，这种隔离模型就会失效。

Instructure尚未披露ShinyHunters用于攻击“教师免费账户”的技术机制。目前已确认的是：攻击者未经授权访问了生产环境中的Canvas数据，窃取了姓名、电子邮件地址、学生ID和私人消息，并可能篡改了多个机构的登录页面。TechCrunch报道了页面篡改事件，但Instructure尚未确认这些事件与此次数据泄露有关，这些事件可能是首次数据泄露后的后续行动。如果情况属实，这意味着攻击者拥有巨大的写入权限——不仅能够读取数据以窃取信息，还能篡改租户配置或用户界面元素——这表明攻击者拥有远超标准用户账户权限的更高权限。

IT部门面临的运营难题在于库存可见性。学校目前没有办法识别哪些“教师免费账户”访问了其机构的Canvas租户，无论是通过课程集成进行的合法访问，还是在漏洞利用期间的恶意访问。教师使用免费账户在机构正式采用Canvas之前进行试用，可能与实际课程数据存在合法连接。攻击者使用被盗用的免费账户也具有相同的访问模式。如果没有显示“教师免费账户”活动范围限定于您租户的日志，IT部门就无法区分这两种情况。

此次信息泄露窗口期为2026年4月30日至5月7日，期间Instructure关闭了“教师免费使用”项目并轮换了特权凭证。虽然只有短短八天，但其影响范围却十分广泛。Canvas在全球数千所学校部署，泄露的个人身份信息（PII）——包括姓名、学生ID、电子邮件地址和私信内容——是发起个性化网络钓鱼攻击的绝佳素材。一封伪装成Canvas管理部门的通用钓鱼邮件很容易识别。但如果邮件中提及特定课程、引用Canvas私信或包含收件人的真实学生ID，则会造成虚假的信任危机。

《泰晤士高等教育》指出，这是主要的下游风险：攻击者利用窃取的Canvas数据，精心设计诱饵，对学生和教职员工发起定向网络钓鱼攻击。攻击者无需直接入侵学校网络，即可利用学生的Canvas数据进行社交工程窃取凭证、通过伪造课程材料传播恶意软件，或通过教职员工账户提升访问权限。由于被盗数据仍然可用，因此网络钓鱼的攻击范围远不止于最初的入侵窗口期。

ShinyHunters 还声称入侵了 Instructure 的 Salesforce 系统，并表示已有部分机构支付了赔偿金。但这两点均未经独立核实。该组织以敲诈勒索为手段，利用数据泄露指控和公开披露时间表来胁迫受害者付款。

IT部门应该吸取的教训是：B2B SaaS 中的免费增值模式通常身份验证力度弱于付费用户，而且与生产产品共享后端基础设施。当验证漏洞演变为攻击漏洞时，隔离模型就会崩溃。这正是此次事件的症结所在。

工作原理

Instructure尚未发布详细的技术分析报告，说明用于入侵“教师免费账户”的漏洞类别或利用方法。但已公开的信息证实：攻击者利用了“教师免费账户”项目的一个漏洞，获取了生产环境Canvas数据的访问权限，并可能获得了足以篡改多个机构登录页面的写入权限。本节将根据已确认的攻击行动和ShinyHunters的历史策略，记录此次事件所揭示的攻击操作细节。

免费教师账户旨在让教育工作者无需机构关联或验证即可创建 Canvas 账户。这些账户运行在 Canvas 的生产基础设施上，而非独立的沙箱环境中。多租户 SaaS 平台通常通过应用层访问控制（哪些客户可以查看哪些数据）、数据库行级权限（哪些记录属于哪些租户）以及 API 授权检查（哪些账户可以执行哪些操作）来强制执行客户环境之间的逻辑隔离。当这些控制措施依赖账户验证作为信任边界，而免费增值模式又削弱或绕过了验证步骤时，这种隔离模型就依赖于攻击者不会发现这种低门槛的注册路径也赋予了对生产租户数据更低门槛的访问权限。

篡改报告揭示了第二个层面。TechCrunch 报道称，在此次攻击期间，学校登录页面遭到篡改。Instructure 尚未正式确认篡改所需的写入权限范围。如果属实，这意味着攻击者拥有对租户配置、UI 自定义设置或前端模板文件的写入权限，而不仅仅是读取权限来窃取学生数据。Canvas 允许机构管理员自定义登录页面、品牌标识和身份验证流程。如果攻击者通过在教师免费账户中进行权限提升（获得高于初始授予的权限）或通过窃取的管理员凭据获得了允许这些自定义的权限级别，那么泄露范围将不仅限于数据泄露，还包括对租户界面的操作控制。

Instructure 的回应证实，攻击途径已通过两项措施得到遏制：永久关闭“教师免费计划”以及轮换特权凭证和 API 密钥。凭证轮换表明，Instructure 评估认为，攻击者的访问可能涉及或已泄露服务级身份验证令牌，而不仅仅是单个用户帐户。使用 LTI（学习工具互操作性，将外部应用程序嵌入 Canvas）、OAuth（无需共享密码即可授予应用程序访问权限）或 SAML（单点登录身份验证）将第三方工具与 Canvas 集成的学校，在 Instructure 轮换 API 密钥后，均收到了重新授权这些集成的指示。当平台的服务凭证被认为可能已被泄露时，这是标准的应对违规事件的流程。

ShinyHunters 的历史攻击策略为此次初始访问的发生提供了背景，尽管 Instructure 尚未证实这一点。Bitdefender 的威胁情报记录了 ShinyHunters 的惯用伎俩：通过语音钓鱼和社会工程手段获取初始凭证，他们通常会冒充 IT 支持人员或受信任的内部人员。另一点值得注意的是此次事件的发生时间，通常正值期末考试和各种学校项目收尾阶段。近年来，ShinyHunters 策划了多起引人注目的事件，而此次攻击似乎旨在扩大影响范围并提高知名度。该组织曾广泛攻击 Salesforce 环境，包括 2025 年 9 月的 Instructure 事件。此次攻击目标从外围业务系统转向产品层级漏洞（教师免费账户），标志着其攻击规模的进一步升级。无论“教师免费版”漏洞是技术漏洞（身份验证绕过——无需有效凭证即可登录；租户隔离缺陷——访问其他组织的数据）还是使用被盗凭证的帐户接管活动，结果都是一样的：防御不足的信任边界很可能成为入侵生产 Canvas 数据的攻击途径。

ShinyHunters 声称的 3.6 TB 数据量和 2.75 亿用户数量尚未得到证实。Instructure 确认的泄露信息范围较窄，包括姓名、电子邮件地址、学生证号和部分私人信息。确认未泄露的信息包括密码、出生日期、政府身份标识和财务信息。“未发现泄露证据”并不等同于“确认数据集中不存在”，但 Instructure 的取证调查仍在进行中，随着时间的推移，调查范围可能会进一步明确。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《ShinyHunters入侵Instructure Canvas LMS》