黑客勒索导致澳大利亚在线学习平台支付赎金

2026年5月13日——Canvas的母公司与窃取约2.75亿用户个人数据并索要1300万美元赎金的网络犯罪团伙达成协议。Canvas是一个被数十万澳大利亚学生和教师使用的在线学习平台。

Instructure公司在澳大利亚东部标准时间周三早些时候确认，他们已与负责此次攻击的「未经授权的行为者」达成协议。此次攻击在第一学期的最后几周瘫痪了Canvas，并从全球8809个教育机构中窃取了约3.65TB的学生和员工记录，其中至少包括122个澳大利亚机构。

公司没有确认是否支付了赎金，只表示被盗数据已被归还，并附有「销毁日志」——黑客销毁剩余副本的数字确认。

澳大利亚受害者包括墨尔本大学、悉尼大学、悉尼科技大学、皇家墨尔本理工大学、西悉尼大学、纽卡斯尔大学、澳大利亚天主教大学以及维多利亚和昆士兰的教育部门。私立学校如墨尔本文法学校、悉尼的克兰布鲁克学校和布里斯班文法学校也是Instructure的本地客户。

网络安全顾问卢克·欧文（Luke Irwin）表示，黑客组织ShinyHunters索要的赎金约为1000万美元，最终支付金额可能在「高位数百万」美元之间。Instructure由美国私募股权巨头KKR拥有，事件可能会通过KKR的投资者报告或美国证券交易委员会的强制性网络事件披露浮出水面。

黑客访问了学生ID号、电子邮件地址、姓名和私人Canvas消息，并威胁如果学校不支付赎金将公开这些信息。Instructure声称没有密码、出生日期、政府标识符或财务信息被盗。

澳大利亚前网络沙皇阿拉斯泰尔·麦吉本（Alastair MacGibbon）表示，Instructure的声明几乎可以肯定是支付赎金的代名词。他警告受害者，包括学生，不应假设数据现在是安全的。

在美国犹他州联邦法院提起的集体诉讼指控Instructure未能充分保护其平台，使其成为网络犯罪分子的「容易猎物」。ShinyHunters此前在2024年通过第三方软件入侵了该公司，这次利用Canvas的免费教师计划中的漏洞进行攻击。