Instructure 向 Canvas 黑客支付赎金，数据虽归还但支付风险引担忧

Instructure 向 Canvas 黑客支付赎金，数据归还但支付风险引担忧

2026 年 5 月 11 日消息，Instructure 已向一群网络犯罪分子支付了赎金。在过去一周半的时间里，这群犯罪分子两次攻击了该公司的学习管理系统 Canvas。

根据这家教育技术公司周一晚上发布的[更新](https://www.instructure.com/incident_update)，这笔交易意味着黑客已归还了来自 8800 多所机构约 2.75 亿用户的被盗数据。该公司的学习管理系统（LMS）被北美 41% 的高等教育机构用于授课。该公司表示，"已收到数据销毁的数字确认（销毁日志）"，并得到保证 "不会因此次事件对任何 Instructure 客户进行公开或其他形式的勒索"。它还补充说，该协议 "涵盖了所有受影响的 Instructure 客户"，个别客户 "无需" 与 ShinyHunters 接触。ShinyHunters 是一个勒索组织，本月已两次入侵并暂时停用了 Canvas。

ShinyHunters 对 Canvas 的入侵造成了严重的服务中断。该组织警告 Instructure，如果不想让包括姓名、电子邮件地址和学生 ID 号码在内的所有用户数据被泄露，就必须支付赎金。"涉及数十亿条学生与教师、学生与学生之间的私人消息，包含个人对话和其他[个人身份信息]，"ShinyHunters 在 5 月 3 日发布在 [Ransomware.live](https://www.ransomware.live/id/SW5zdHJ1Y3R1cmUgSG9sZGluZ3MsIEluYy4gKENhbnZhIExNUywgaW5zdHJ1Y3R1cmUuY29tKUBzaGlueWh1bnRlcnM) 网站上的赎金信中写道。该网站跟踪和监控勒索软件组织的受害者及其活动。黑客告诉 Instructure"在 2026 年 6 月 6 日前联系我们，否则我们将泄露数据，并给你带来一些讨厌的[数字]问题"。它警告该公司 "做出正确的决定"，以免成为 "下一个头条新闻"。

尽管 Instructure 似乎忽略了这些要求，但它解决了安全问题，到上周二（5 月 5 日），Canvas 已全面恢复运营。但这并没有阻止黑客在本周晚些时候制造更大的头条新闻。到周四，Canvas 用户（许多人正在准备期末考试和完成学期末作业）[再次无法访问他们的账户](https://www.insidehighered.com/news/quick-takes/2026/05/07/hackers-target-canvas-again)，他们只能看到黑客的一条消息。

"ShinyHunters 再次入侵了 Instructure。他们没有联系我们解决问题，而是忽略了我们，进行了一些‘安全补丁’操作，"消息中写道。"如果受影响名单上的任何学校有兴趣阻止其数据被泄露，请咨询网络咨询公司，并通过 TOX 私下联系我们协商解决方案。"他们给各机构和 Instructure 设定了 5 月 12 日的截止日期。

据 ShinyHunters 称，Instructure 忽略了他们最初的赎金要求。"Instructure 甚至懒得和我们沟通，了解情况或协商以阻止数据泄露。我们的要求并不像你想象的那么高，"该网络犯罪团伙的一封赎金信[发布在 RansomLook](https://www.ransomlook.io/group/shinyhunters) 网站上，该网站跟踪网络犯罪活动。"该公司似乎并不关心所有受影响的学生和因这次数据泄露而受到影响的机构。"

作为回应，许多[大学推迟了考试](https://www.insidehighered.com/news/tech-innovation/teaching-learning/2026/05/08/universities-suspend-final-exams-after-canvas)和期末项目的截止日期，等待 Canvas 解决问题。上周末，Instructure 首席执行官史蒂夫·戴利（Steve Daly）承诺，第二次处理此次黑客攻击时将采取不同的方式。

"上周，我们决定在公开表态之前先了解清楚事实。这种本能并没有错，但我们在平衡方面做得不好。我们专注于调查事实，在你们需要持续更新信息的时候却保持了沉默，"他在公司网站的一篇更新文章中写道。"你们已经明确指出了这一点，这是合理的反馈。我们今后会做出改变。"

显然，Instructure 也与黑客展开了沟通。到周一下午，该公司[在其网站](https://www.instructure.com/incident_update#INSTstatus)上报告称 "所有 Canvas 环境均已恢复正常"。

支付赎金的风险

美国国家网络安全联盟（National Cybersecurity Alliance）信息安全与参与主任克里夫·斯坦豪尔（Cliff Steinhauer）表示，虽然支付赎金可能解决了 Instructure 的眼前问题，但这违背了传统的网络安全协议，"可能会形成一个危险的反馈循环，让攻击者因成功入侵而得到实际奖励"。

"即使组织认为自己正在‘解决’眼前的危机，但这会强化网络勒索背后的经济激励机制，并向威胁行为者表明，攻击大型教育平台或任何关键服务都可能有利可图，"斯坦豪尔在给《高等教育内幕》的一封电子邮件声明中说。"这还可能使支付赎金成为一种可行的事件响应策略，而执法机构一直警告不要这样做，因为这会助长该领域的更多攻击。"

他还补充说，Instructure 与 ShinyHunters 的协议也引发了关于信任和确定性的问题。

"即使犯罪分子声称已删除被盗数据或提供‘销毁证明’，也没有可靠的方法来验证这些说法，而且历史表明，数据往往会被保留、转售或用于未来的勒索企图，"他说。"从风险角度来看，组织可能是用明显的短期干扰换取了一个可能在数月或数年后再次出现的长期风险问题，而且往往没有额外的手段来防止这种情况发生。"

（本文于 5 月 12 日更新，增加了克里夫·斯坦豪尔的新评论。）