全球教育科技平台再度爆發重大資安危機。知名學習管理系統平台 Instructure 旗下 Canvas,近日遭勒索與資料外洩組織 ShinyHunters 二度入侵,攻擊者不僅竊取大量教育資料,更進一步大規模竄改全球數百所大學與教育機構的 Canvas 登入頁面,公開張貼勒索訊息,試圖向 Instructure 與受害學校施壓支付贖金。
這起事件已不只是單純的資料外洩,而是演變成結合 SaaS 平台入侵、XSS 攻擊、Session 劫持、公開羞辱式勒索(Public Extortion)與教育供應鏈攻擊的複合型資安事件,也再次凸顯全球教育科技(EdTech)平台正快速成為高價值攻擊目標。
根據外媒與研究人員掌握資訊,攻擊者於 5 月初再度利用 Instructure 系統中的漏洞,成功入侵 Canvas 平台,並對約 330 所大學、學院與教育機構的 Canvas 登入入口進行大規模 Defacement。遭竄改的登入頁面與 Canvas App 中,皆被植入 ShinyHunters 的勒索警告訊息。
駭客在訊息中直接宣稱:
「ShinyHunters has breached Instructure (again).」
並警告 Instructure 與受影響學校,必須在 2026 年 5 月 12 日前主動聯繫談判,否則將公開所有遭竊學生資料。
攻擊者甚至要求學校「尋求資安顧問協助後私下與其聯繫」,顯示這已不再只是單純的技術入侵,而是高度組織化的數位勒索行動。
根據目前揭露資訊,此次頁面竄改事件僅持續約 30 分鐘便被緊急下架,但影響範圍已涵蓋大量教育機構,包括美國多所知名大學。事件發生後,Instructure 一度緊急將 Canvas 平台離線,以防止攻擊持續擴散並進行調查。
事實上,這並非 Instructure 首次遭駭。
早在 4 月底,Instructure 即已公開承認遭遇資安事件,當時 ShinyHunters 聲稱已從 Canvas 平台相關環境中竊取超過 2.8 億筆學生與教職員資料,影響高達 8,809 所學校、大學與線上教育平台。
而後續駭客更向媒體透露,遭竊資料不僅包含:
- 使用者帳號資料
- 電子郵件地址
- 修課與註冊資訊
- 課程名稱
- 私人訊息內容
- 學生與教師互動資料
- Canvas 匯出資料
- API 存取內容
甚至可能涉及大量校務與教育平台後端資料。
從攻擊技術分析來看,這起事件最值得關注的,是攻擊者利用了 Canvas 平台中與使用者產生內容(User-Generated Content)相關的多個 XSS(Cross-Site Scripting)漏洞。
駭客透過植入惡意 JavaScript 程式碼,成功竊取已登入管理員與高權限使用者的 Session Token,進而劫持已驗證 Session,取得管理權限並執行高權限操作。
這代表攻擊者無需破解密碼,即可繞過傳統 MFA 與帳密驗證機制,直接接管後台管理權限。
對 SaaS 與雲端平台而言,這類 Session Hijacking 攻擊風險極高,因為一旦管理者 Session 遭竊,攻擊者便能合法存取大量企業與組織資料,甚至橫向移動至更多整合系統。
而 Canvas 本身作為全球最廣泛使用的 LMS 平台之一,長期被大量高等教育機構與 K-12 學校用於:
- 課程管理
- 作業提交
- 成績系統
- 師生溝通
- 教學平台整合
因此,一旦平台遭入侵,其影響已不只是單一企業事件,而可能演變成大規模教育供應鏈風險。
更值得警惕的是,ShinyHunters 近年已逐漸從傳統資料外洩組織,演變成專門針對 SaaS 與雲端身分驗證環境的高階勒索集團。
資安研究人員指出,ShinyHunters 近年頻繁鎖定:
- Salesforce
- Microsoft 365
- Google Workspace
- Okta
- Slack
- SAP
- Atlassian
- Zendesk
- Dropbox
- Adobe
等大型 SaaS 與企業雲端平台。
其常見攻擊手法包括:
- OAuth Token 竊取
- 第三方整合供應商入侵
- API Token 濫用
- 單一登入(SSO)帳號劫持
- Voice Phishing(Vishing)
- MFA 疲勞攻擊
- Device Code Phishing
- Microsoft Entra Token 劫持
其中最危險的,是攻擊者開始大量利用「身分驗證信任機制」進行橫向滲透。
駭客通常假冒 IT 支援人員,透過電話釣魚(Vishing)誘騙員工輸入 MFA 驗證碼或登入企業 SSO 頁面,之後再竊取 OAuth 或 Entra 驗證 Token,直接接管企業 SaaS 環境。
這代表即使企業已導入 MFA,若缺乏身分異常偵測與條件式存取(Conditional Access),仍可能遭繞過。
此外,ShinyHunters 近年也逐漸發展出類似「勒索即服務(Extortion-as-a-Service)」模式,協助其他威脅組織進行資料勒索並抽取分潤,因此即便部分成員遭逮捕,仍持續有大量攻擊活動以「We are ShinyHunters」名義進行。
此次 Canvas 事件也再次反映,教育產業長期被低估的資安風險正快速升高。
由於教育平台通常集中大量未成年學生資料、身分資訊、學習紀錄與校務系統,一旦遭入侵,後續不僅可能造成個資外洩,更可能衍生:
- 身分冒用
- 社交工程攻擊
- 供應鏈滲透
- 帳號接管
- AI 訓練資料濫用
- 長期情報蒐集
等更深層風險。
從防禦角度來看,此事件也再次提醒所有 SaaS 與教育平台業者:
- 必須加強 Web Application Security 測試
- 建立更嚴格的 XSS Sanitization 機制
- 導入 CSP(Content Security Policy)
- 強化 Session 與 Token 保護
- 監控異常 OAuth 與 API 存取行為
- 導入身分威脅偵測(ITDR)
- 建立 SaaS Security Posture Management(SSPM)
- 強化第三方整合供應鏈管理
當攻擊者開始結合 SaaS 入侵、身分劫持與公開式勒索,未來這類針對教育、醫療與雲端平台的複合型攻擊,只會越來越頻繁且更具破壞力。