全球近9000所学校使用的学习管理系统Canvas,正成为黑客组织ShinyHunters的"提款机"。教育科技公司Instructure本周确认,该组织在首次入侵仅一周后,再次突破其系统防线,并公然在多个学校登录页面上留下勒索信息。

据TechCrunch报道,ShinyHunters本周篡改了至少三所学校的Canvas登录页面,通过注入HTML文件发布威胁:若Instructure不在5月12日前"协商和解",将公开释放窃取的数据。Instructure证实,此次入侵者与上周首次攻击系同一团伙,但突破了不同的基础设施环节。

打开网易新闻 查看精彩图片

为应对第二次入侵,Instructure一度将Canvas平台下线排查。公司调查发现,黑客利用了"Free-For-Teacher"免费教师账户的漏洞。目前该类账户已被临时关闭,平台服务已恢复。

首次入侵的规模更为惊人。ShinyHunters声称窃取了与2.75亿用户相关的数据,波及全球8809所学校,涵盖学生、教师及教职员工的姓名、邮箱、学号及Canvas平台站内信息。Instructure后续确认了此次数据泄露。

索要"和解金"已成为该组织的标准操作。过去一年间,ShinyHunters还宣称对Panera Bread、Crunchyroll、Bumble、ADT及Rockstar Games等多家企业发动过攻击。

同一目标两周内被同一黑客两次攻破,暴露的不仅是技术漏洞,更是教育科技领域安全投入的系统性短板。当勒索信息直接出现在师生每日登录的页面上,这场网络攻击已从后台数据泄露升级为赤裸裸的公开羞辱。