Canvas学习系统的母公司Instructure承认,向黑客组织ShinyHunters支付了赎金,以换取被窃数据的删除和未来不再针对其客户的承诺。CEO Steve Daly在博客文章中写道:"你们值得更好的。"

这场风波始于2026年5月初。当时有消息传出,这家教育科技巨头遭遇网络攻击,敏感客户数据外泄。数小时后,ShinyHunters将其列入数据泄露网站,声称此次事件影响近9000所学校、2.75亿人,包括学生、教师及其他工作人员。

打开网易新闻 查看精彩图片

该组织当时放话称,窃取了"数十亿条师生间、学生间的私人消息,包含个人对话及其他个人身份信息",并提到Salesforce实例同样被攻破。

几天后,ShinyHunters升级了攻势——篡改Instructure的登录页面,并点名一批显赫的受害机构:哈佛、MIT、牛津、斯坦福、普林斯顿、哥伦比亚、剑桥、康奈尔伯克利、乔治城,以及亚马逊、苹果、思科等企业。

Daly披露的协议细节包括:数据已归还、收到数字销毁确认(即"粉碎日志")、获告知不会有Instructure客户因此事遭受公开或其他形式的勒索。协议覆盖所有受影响客户,公司强调单个客户无需再与ShinyHunters接触。

不过,具体金额未公开。执法部门通常建议不要支付赎金——这只会资助更多攻击,且无法保证被盗数据不会出现在暗网,更不能确保同一组织或其他组织未来不会再次下手。

ShinyHunters带着报酬离场,而这场交易的安全承诺能兑现多久,仍是未知数。