Canvas Learning Management System 因協同網絡安全漏洞而導致全球服務中斷

2026年5月8日 21:03

導言

由 Instructure 營運的雲端教育平台 Canvas 遭遇嚴重網絡安全漏洞，隨後導致服務中斷，影響全球數千間學術機構。

正文

此次事件源於「Free-for-Teacher」帳戶基礎設施內的漏洞，Instructure 隨後將其停用以協助系統恢復。一個名為 ShinyHunters 的犯罪集團聲稱對此次漏洞負責，並指稱已外洩約 6.65 terabytes 的數據，涉及近 9,000 間機構內 2.75 億名個人。威脅行為者採取「支付或洩漏」策略，在登入門戶頁面篡改內容以提出贖金要求，並將結算談判的截止日期定於 2026 年 5 月 12 日。由於服務中斷時間與學期末考試期重疊，對機構的影響尤為顯著。在 United States 、 Canada 、 Australia 及 Hong Kong ，多間大學及小學報告稱無法訪問關鍵教學資源，包括成績冊、講座材料及評核提交門戶。因此，數間機構（例如 University of Illinois 及 Penn State）被迫推遲期末考試或延長學術截止日期。 Instructure 的內部調查確認，用戶名稱、電子郵件地址、學生識別號碼及內部通訊內容遭到洩露。然而，管理層維持指沒有證據顯示財務數據、政府識別碼或密碼被洩露。針對此次漏洞，Instructure 已聘請法證專家，並與包括 FBI 及 U.S. Cybersecurity and Infrastructure Security Agency （CISA）在內的執法機構協調。

結論

儘管 Canvas 服務已基本恢復，但受影響機構仍對潛在的 phishing 攻擊及二次數據洩漏保持警惕。