期末試験直撃：Canvas遭勒索攻擊，9000校數據被挾持

為什么偏偏選在期末？美國高校最依賴的學習管理系統Canvas，在5月7日突然陷入癱瘓。登錄頁面跳出的不是課程表，而是一封勒索信——犯罪集團ShinyHunters聲稱手握約9000所教育機構的2.75億人數據，限期付款，否則全部公開。

Canvas是什么？簡單說，它是美國大中小學的「數字校園」。學生交作業、查成績、參加考試；老師上傳課件、批改、發通知——全在這個平臺上。它停了，不是「網站打不開」的小事，是整個教學秩序直接停擺。

運營方Instructure的應對時間線值得復盤。4月29日，公司檢測到異常訪問，啟動調查。5月2日，對外宣稱「問題已控制，服務正常」。5月7日，ShinyHunters的勒索信息卻直接出現在用戶登錄頁。Instructure這才緊急將Canvas切至維護模式，全美學校瞬間斷線。

攻擊者玩得很大。ShinyHunters不僅向Instructure索要贖金，還繞過平臺直接聯系受影響學校：「想避免數據公開？單獨來談。」最初期限是5月6日，后延至5月12日。他們宣稱的數據規模——9000校、2.75億人——目前尚未經獨立核實，但恐慌已經蔓延。

技術根因指向一個被忽視的入口：「Free for Teacher」。這是Instructure給教育者提供的免費試用環境，支持工單系統存在漏洞。Instructure確認，4月29日與5月7日兩次入侵均與此相關。補救措施包括：暫停該賬戶類型、作廢權限憑證、輪換內部密鑰、限制令牌創建路徑，并引入CrowdStrike做取證，同步通報FBI與CISA。

但溝通策略招致批評。安全媒體KrebsOnSecurity指出，Canvas在顯示攻擊者信息后，曾將門戶標注為「計劃維護」。云安全公司Cloudskope的迪潘·曼質疑：5月2日說「已控制」，5月7日又被突破，時間線如何自洽？Instructure在5月9日的更新中道歉，承認「未能提供更一致的溝通」，并承諾設專門頁面同步確認信息。

ShinyHunters并非無名之輩。該團伙慣用語音釣魚、社會工程學偽裝IT人員滲透企業，此前曾宣稱攻擊ADT、Medtronic、Rockstar Games、McGraw Hill、7-Eleven、Carnival等。Mandiant Consulting的查爾斯·卡瑪卡爾表示，ShinyHunters當前正同時推進多起入侵勒索行動。

截至5月9日，Canvas宣布完全恢復。但數據泄露的具體范圍、涉及哪些客戶，Instructure稱仍需數周調查。官方建議用戶：留意學校正式通知，警惕借此事發起的釣魚郵件、短信和偽造登錄頁。

事件留下一個尖銳問題：教育基礎設施的安全投入，是否匹配其社會權重？期末周斷網，影響的不僅是分數，是數百萬學生的升學、畢業、獎學金——這些無法「維護」回來。