Instructure 旗下 Canvas 平台發生全球網絡安全漏洞事件
導言
由 Instructure 開發的雲端學習管理系統 Canvas 遭遇嚴重網絡安全漏洞,影響全球數以千計的教育機構。
正文
是次事件於 2026 年 4 月 29 日開始,當時 Instructure 偵測到未經授權的活動。隨後於 5 月 7 日的分析顯示,一名威脅參與者修改了用戶界面頁面。Instructure 將此漏洞歸因於其 「Free-For-Teacher」 帳戶被利用,因此暫時停用相關特定帳戶,以採取遏制措施並恢復平台的整體訪問權限。名為 ShinyHunters 的黑客組織聲稱對此負責,並指稱已獲取來自 9,000 間機構、約 2.75 億名用戶的數據,要求在 2026 年 5 月 12 日前達成和解,否則將公開發佈相關資訊。 各機構受到的影響廣泛,Harvard 、 UCLA 以及包括 Adelaide 和 Flinders 在內的多間 Australian 大學均報告出現顯著中斷。由於停機發生在關鍵的考核期間,校方必須實施學術延期,以減輕學生所受的影響。雖然 Instructure 與 Australian National Office of Cyber Security 確認姓名、電子郵件地址、學生 ID 及內部訊息已遭洩露,但雙方均表示,並無證據顯示密碼、財務數據或政府識別碼被盜。因此,包括 Hong Kong Computer Emergency Response Team 在內的網絡安全部門已警告用戶,須警惕利用外洩數據進行的潛在網絡釣魚活動。 針對是次漏洞,Instructure 採取了多項補救措施,包括撤銷特權憑證、輪換內部密鑰以及部署強化的監控系統。National security agencies 如 Australian Signals Directorate 則建議不要支付贖金,理由是無法保證數據能被恢復,亦不能防止未來的攻擊。
結論
儘管 Canvas 服務已基本恢復,但 「Free-For-Teacher」 帳戶仍維持暫時停用狀態,且用戶依然面臨被針對性網絡釣魚攻擊的風險。