经营知名线上教育平台Canvas的美国公司Instructure,在五月初遭骇客入侵,全球约2.7亿用户的个人资讯被盗取,实行攻击的骇客团体「闪耀猎人」(ShinyHunters)向该公司及使用其平台的高校发出威胁,指若没有在5月12日之收到赎金,将会公开持有的数据。而Instructure最后选择在期限前交付赎金,并称骇客保证会销毁副本且不再勒索,让事件暂时落幕,但此案也再次暴露全球教育数位化、集中化之下,所面临的系统性资安风险。
Canvas是一款供校园使用的线上平台,与澳洲绘图平台公司Canva名字相似,但功能迥异。教师与课程管理者可利用Canvas发布作业题目、课堂资料等,学生则在平台上使用课程内容、提交作业、使用校园图书馆和远程收听科目讲座等,也可利用平台进行小组讨论,向讲师与助教提问。据报导,全球有约9000间学校、大学与教育机构使用Canvas,包括哈佛、普林斯顿大学等知名高校。此次被盗取的资讯包括学生证号码、电子邮箱、学生注册信息和聊天讯息。
此次骇客网络攻击,导致大量学生与教职工无法登入Canvas平台进行正常教学或提交作业,有美国高校甚至被迫宣布延期考试。香港私隐专员公署也确认,直至5月14日,已接获七间机构受Canvas资料外泄事故影响的通报,包括香港理工大学、香港科技大学和香港城市大学。
5月12日,Instructure在网站发表声明,指与骇客团体闪耀猎人达成协议,会向其支付赎金,换取删除被盗取的用户数据。澳洲媒体《雪梨先驱报》报导,该团体向Instructure勒索1000万美元的赎金,但Instructure并无公开确认具体金额。
随着近年骇客网络攻击事件数量增加,英国、美国、澳洲等国家政府的网络安全部门都有推出指引,不建议受攻击的公司向骇客支付赎金。但在此次事件中,Instructure选择支付赎金,令多名全球网络资讯安全专家担忧,这种做法会变相鼓励骇客团体实施类似的行动。
另一方面,尽管Instructure再三强调,已收到骇客确认删除所有被盗数据的证明,但各国隐私专员与教育机构仍向学生与教职工发出警示。例如香港私隐专员公署就指,受Canvas事件影响人士,若收到来路不明的电邮、电话和短讯时,要更加提高警觉。
全球骇客网络勒索案件增加
据闪耀猎人声明,他们今年向Instructure发起了两次骇客攻击,第一次是在4月29日,而Instructure也随即公告,指公司遇上网络安全事件,但强调事件在「控制范围内」。然而,据CNN报导,在其声明的第二天,部分被盗取的身份资讯在网上流出。
而在5月7日,闪耀猎人对Instructure发起第二次攻击,用户在登陆Canvas平台时,会收到一条来自骇客的讯息。讯息指,Instructure无视了骇客团体之前的要求,仅仅做了一些「安全补丁」,为此团体决定再次攻击Instructure并公诸于众,要求Instructure和受影响的机构在5月12日之前支付赎金,否则会公开所有资讯。据BBC报导,闪耀猎人宣称还曾分别在2025年和2026年四月初对Instructure发起了另外两次攻击。
近年,企业遭受骇客网络攻击事件增加,英国科技产品对比公司Comparitech统计2025年全年所有由骇客团体主导的数据泄露事件,以勒索赎金为目的的骇客攻击,去年全球录得4719宗,比2024年增长了32%;其中最主要的攻击对象为企业,超过6200宗,其次为政府部门(374宗),然后是医疗(444宗)与教育机构(252宗)。
然而,仅有七分之一的涉事机构公开承认受到骇客攻击。在这些案例中,近5,920万份数据被泄露。在所有案例中,制造业受骇客勒索最严重,不仅案例数量上升了95%,而且赎金也从2024年最高50万美元,上升到2025年的120万美元。
该报告也指出,四千多宗攻击事件中,有俄罗斯背景、曾针对多家台湾企业发起骇客勒索的Qilin,主导2025年骇客攻击最多,至少超过1030起。美国机构受骇客勒索最严重(3810宗),之后是加拿大(392宗)、德国(303宗)、英国(251宗)和法国(178宗),而韩国是攻击案件增幅最大的国家,从2024年仅10宗,到2025年录得64宗。
该报告录得的数字可能只是冰山一角。从2024年7月到2025年6月期间,澳洲政府旗下的网络安全机构 ReportCyber收到的网络犯罪报告有超过84,000宗,当中11%涉及勒索赎金。然而,澳洲也是从2025年5月起,才开始要求资金流超过300万澳元的企业必须上报网络安全事件,可见恐怕有大量网络攻击案成为黑数。
吴政霆
企业应该支付赎金吗?
此次Canvas事件,母公司Instructure选择向骇客团体支付赎金,这一举动与各国政府安全机构的指引相违。有网络安全专家向媒体表示,不支付赎金,能最大程度降低骇客攻击的效益,而Instructure的做法,可能让公司被其他骇客团队盯上。
面对骇客勒索案件数量上升,2023年,在美国主导下,超过40个国家政府共同发表声明,反对向骇客团体支付赎金。此外,英国政府在研究禁止企业支付赎金的法案,而澳洲政府也规定从2025年起,若企业选择支付赎金,必须要向政府申报。
企业向骇客支付赎金,往往是因为担忧用户数据被泄露,然而据BBC报导,英国警方曾骇入一个从事网络勒索的团体,发现该团体在收到赎金后,并没有按照约定删除盗取的数据。尽管Canvas事件目前暂告一段落,但各国政府与教育机构仍在密切关注被泄露的用户数据动向,并呼吁受影响学生与教职员工要提高警觉,一旦发现收到可疑信息,要向相关机构报告。
