在线学习管理系统 Canvas 的母公司 Instructure 于 5 月 11 日宣布,已与黑客组织 ShinyHunters 达成协议,避免了 3.65TB 被盗数据在今日(5 月 12 日)最终期限到来时公开泄露。公司声明称,数据已被"归还并销毁"并附有删除日志作为数字证明;协议覆盖所有受影响客户,各方无需自行与黑客接触,公司亦已获告知"不会有任何客户因此事件遭受公开或私下勒索"。Instructure 未披露是否支付赎金及金额,并就此前信息透明度不足公开致歉。此次事件被认为是迄今有记录的规模最大教育行业安全事件,波及全球约 8809 所高校、教育主管机构及其他组织,涉及约 2.75 亿名师生的姓名、电子邮件、学号及据称数十亿条私信记录。
事件最早于 4 月末发生。ShinyHunters 于 5 月 3 日通过勒索软件追踪网站 Ransomware.live 发布勒索信,要求 Instructure 于 5 月 6 日前接触谈判,威胁届时公开全部数据及实施"令人烦恼的数字骚扰"。Instructure 起初选择部署安全补丁而非谈判,ShinyHunters 随即于 5 月 7 日篡改约 330 所院校的 Canvas 登录页面并造成平台服务中断,期限顺延至 5 月 12 日——此时正值众多高校期末考试周,服务中断影响尤为严重。Canvas 目前在全球拥有逾 3000 万活跃用户,覆盖美国约 41% 的高等教育机构。ShinyHunters 此前因荷兰电信运营商 Odido 拒绝付款而泄露其 620 万用户数据,该组织还与宾夕法尼亚大学、普林斯顿大学和哈佛大学的数据泄露事件存在关联。
The New York Times | The Hacker News
https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html