Instructure 與黑客達成協議，兩度遭入侵

事件背景

2026年5月12日，Instructure — 作為線上學習平臺 Canvas 的母公司 — 在週一晚上宣佈，已與犯罪勒索集團 ShinyHunters 達成協議，該集團曾兩次入侵 Instructure 系統，並威脅要洩露從數千所學校中偷取的資料。

攻擊細節

黑客集團 ShinyHunters 利用 Canvas 的「免費教師帳號」漏洞，成功入侵系統，並在2026年5月7日再次攻擊，導致多所學校的登入頁面被惡意篡改。

根據報導，此次攻擊影響了超過275萬個學校帳戶，黑客聲稱已竊取3.65TB的資料，內容包括學生姓名、電子郵件地址與學號等敏感資訊。

後續處理

Instructure 表示，已與黑客達成協議，但並未保證黑客會保留資料不公開或遵守協議內容，因此學校與用戶仍需高度警惕。

相關報導

• The Duke Chronicle：Instructure 與黑客達成協議後，數千所學校受影響
• JD Supra：深入解析 Canvas（Instructure）資料外洩事件
• BleepingComputer：黑客利用 Canvas 漏洞篡改學校登入頁面
• The Harvard Crimson：哈佛大學 Canvas 網站因遭入侵而暫時無法使用
• The New York Times：Canvas 平臺遭攻擊，數百萬用戶資料受影響

來源：https://techcrunch.com/2026/05/12/instructure-strikes-deal-with-hackers-who-breached-it-twice/