Canvas 母公司與駭客達成協議，取回遭竊個資

事件背景與攻擊經過

駭客組織 ShinyHunters 先後於 4 月底及 5 月上旬，傳出攻擊學習管理系統 Canvas 開發商 Instructure。駭客當時聲稱竊得 2.75 億筆個資，影響近 9,000 個教育機構，檔案大小達到 3.65 TB。隨後駭客發動第二波攻擊，竄改多所學校的 Canvas 入口網站並留下勒索訊息，要脅校方支付贖金以換取資料不被公開。

Instructure 官方聲明

5 月 11 日，Instructure 更新資安事件公告網頁內容，表示他們基於保護客戶資料的立場，已與非法存取者達成協議。根據公告，駭客已將資料歸還，並將手上的資料副本銷毀。Instructure 進一步表明，作為與駭客達成協議的一部分，被竊取的數據已歸還，並承諾「本次事件不會導致任何 Instructure 客戶遭到勒索」。

協議細節與市場反應

雖然 Instructure 確認已與涉及此次事件的未經授權行為者達成協議，但官方聲明中並未披露協議的具體詳情，包括是否涉及具體金額的贖金支付，亦未透露協議是否包含永久刪除數據的保證。部分報導指出，據報公司向黑客支付贖金，但未清楚金額。此事件引發市場對於企業資安防護及贖金策略的討論，資安專家憂慮此類行為恐助長犯罪行為。