Instructure 向 ShinyHunters 支付赎金以应对 Canvas 泄露

执行摘要

教育技术公司Instructure在两次入侵其Canvas学习管理平台后，向网络犯罪团伙ShinyHunters支付了一笔未公开的赎金，这两次入侵泄露了大约9000家客户机构的数据。在美国众议院国土安全委员会宣布将调查此事件几小时后，Instructure做出了支付决定，该事件导致数百万学生在期末考试期间无法访问课程材料。Instructure表示，该协议包括数字确认数据销毁，并且没有单个客户会因违反而受到敲诈，根据公司周一晚间发布的披露。

技术分析

ShinyHunters在两周内两次入侵Instructure的Canvas平台。第一次入侵发生在2026年5月1日，在此期间，该团伙窃取了包括姓名、电子邮件地址、学生ID和学生与教授之间的信息在内的大量敏感数据。根据众议员Andrew Garbarino（R-NY）致Instructure首席执行官Steve Daly的信件，Instructure最初声称该事件在5月2日得到控制。然而，在5月7日，ShinyHunters在Canvas平台上发布了一个赎金消息，用户登录系统时可以看到，表明第二次成功入侵。

在最初披露后的几天内再次发生违规，促使Garbarino质疑Instructure的事件响应能力。在他的信中，Garbarino写道，“Instructure对这一事件的公开描述与攻击者自己的声明所暗示的规模之间的差距需要全面透明的核算。”他进一步指出，公司“在那段时间内显然未能完全修复潜在的漏洞”，这引发了对其对受影响机构义务的严重质疑。

Instructure在第二次入侵后暂时关闭了Canvas平台，中断了数千所依赖该系统进行课程材料和通信的大学和K-12学校的访问。公司随后恢复了服务，首席执行官Steve Daly发表了一封致客户的信，声明Canvas目前可以安全使用。Instructure已聘请CrowdStrike和一家未具名的第二家网络安全公司进行取证分析并加强其环境。

ShinyHunters在5月12日向个别学校索要赎金，并威胁泄露被盗数据。截至周一，该团伙的泄露网站已下线，一些网络安全专家表示，联邦调查局可能针对该团伙采取行动。联邦调查局向Recorded Future News确认，它了解这一中断，并建议学生不要回应黑客的直接支付要求，指出收到来自ShinyHunters的消息“并不一定意味着您的个人信息已被泄露”。

缓解措施与建议

使用Canvas的教育机构应等待Instructure关于事件范围和任何受影响数据性质的正式指导，正如联邦调查局所建议的。收到ShinyHunters直接通信要求支付的学生和教职员工不应回应，而应将此类联系报告给他们机构的IT安全团队和当地联邦调查局外地办事处。Instructure表示，任何尚未与公司联系的学校都没有受到网络攻击的影响。组织应审查他们的事件响应程序，确保初始遏制措施包括对根本原因的完全补救，以防止后续入侵，正如这一事件的时间线所展示的不完整补救的风险。