經營知名線上教育平台Canvas的美國公司Instructure,在五月初遭駭客入侵,全球約2.7億用戶的個人資訊被盜取,實行攻擊的駭客團體「閃耀獵人」(ShinyHunters)向該公司及使用其平台的高校發出威脅,指若沒有在5月12日之收到贖金,將會公開持有的數據。而Instructure最後選擇在期限前交付贖金,並稱駭客保證會銷毀副本且不再勒索,讓事件暫時落幕,但此案也再次暴露全球教育數位化、集中化之下,所面臨的系統性資安風險。
Canvas是一款供校園使用的線上平台,與澳洲繪圖平台公司Canva名字相似,但功能迥異。教師與課程管理者可利用Canvas發布作業題目、課堂資料等,學生則在平台上使用課程內容、提交作業、使用校園圖書館和遠程收聽科目講座等,也可利用平台進行小組討論,向講師與助教提問。據報導,全球有約9000間學校、大學與教育機構使用Canvas,包括哈佛、普林斯頓大學等知名高校。此次被盜取的資訊包括學生證號碼、電子郵箱、學生註冊信息和聊天訊息。
此次駭客攻擊,導致大量學生與教職工無法登入Canvas平台進行正常教學或提交作業,有美國高校甚至被迫宣布延期考試。香港私隱專員公署也確認,直至5月14日,已接獲七間機構受Canvas資料外洩事故影響的通報,包括香港理工大學、香港科技大學和香港城市大學。
5月12日,Instructure在網站發表聲明,指與駭客團體閃耀獵人達成協議,會向其支付贖金,換取刪除被盜取的用戶數據。澳洲媒體《雪梨先驅報》報導,該團體向Instructure勒索1000萬美元的贖金,但Instructure並無公開確認具體金額。
隨著近年駭客網絡攻擊事件數量增加,英國、美國、澳洲等國家政府的網絡安全部門都有推出指引,不建議受攻擊的公司向駭客支付贖金。但在此次事件中,Instructure選擇支付贖金,令多名全球網絡資訊安全專家擔憂,這種做法會變相鼓勵駭客團體實施類似的行動。
另一方面,儘管Instructure再三強調,已收到駭客確認刪除所有被盜數據的證明,但各國隱私專員與教育機構仍向學生與教職工發出警示。例如香港私隱專員公署就指,受Canvas事件影響人士,若收到來路不明的電郵、電話和短訊時,要更加提高警覺。
全球駭客網絡勒索案件增加
據閃耀獵人聲明,他們今年向Instructure發起了兩次駭客攻擊,第一次是在4月29日,而Instructure也隨即公告,指公司遇上網絡安全事件,但強調事件在「控制範圍內」。然而,據CNN報導,在其聲明的第二天,部分被盜取的身份資訊在網上流出。
而在5月7日,閃耀獵人對Instructure發起第二次攻擊,用戶在登陸Canvas平台時,會收到一條來自駭客的訊息。訊息指,Instructure無視了駭客團體之前的要求,僅僅做了一些「安全補丁」,為此團體決定再次攻擊Instructure並公諸於眾,要求Instructure和受影響的機構在5月12日之前支付贖金,否則會公開所有資訊。據BBC報導,閃耀獵人宣稱還曾分別在2025年和2026年四月初對Instructure發起了另外兩次攻擊。
近年,企業遭受駭客網絡攻擊事件增加,英國科技產品對比公司Comparitech統計2025年全年所有由駭客團體主導的數據洩露事件,以勒索贖金為目的的駭客攻擊,去年全球錄得4719宗,比2024年增長了32%;其中最主要的攻擊對象為企業,超過6200宗,其次為政府部門(374宗),然後是醫療(444宗)與教育機構(252宗)。
然而,僅有七分之一的涉事機構公開承認受到駭客攻擊。在這些案例中,近5,920萬份數據被洩露。在所有案例中,製造業受駭客勒索最嚴重,不僅案例數量上升了95%,而且贖金也從2024年最高50萬美元,上升到2025年的120萬美元。
該報告也指出,四千多宗攻擊事件中,有俄羅斯背景、曾針對多家台灣企業發起駭客勒索的Qilin,主導2025年駭客攻擊最多,至少超過1030起。美國機構受駭客勒索最嚴重(3810宗),之後是加拿大(392宗)、德國(303宗)、英國(251宗)和法國(178宗),而韓國是攻擊案件增幅最大的國家,從2024年僅10宗,到2025年錄得64宗。
該報告錄得的數字可能只是冰山一角。從2024年7月到2025年6月期間,澳洲政府旗下的網絡安全機構 ReportCyber收到的網絡犯罪報告有超過84,000宗,當中11%涉及勒索贖金。然而,澳洲也是從2025年5月起,才開始要求資金流超過300萬澳元的企業必須上報網絡安全事件,可見恐怕有大量網絡攻擊案成為黑數。
吳政霆
企業應該支付贖金嗎?
此次Canvas事件,母公司Instructure選擇向駭客團體支付贖金,這一舉動與各國政府安全機構的指引相違。有網絡安全專家向媒體表示,不支付贖金,能最大程度降低駭客攻擊的效益,而Instructure的做法,可能讓公司被其他駭客團隊盯上。
面對駭客勒索案件數量上升,2023年,在美國主導下,超過40個國家政府共同發表聲明,反對向駭客團體支付贖金。此外,英國政府在研究禁止企業支付贖金的法案,而澳洲政府也規定從2025年起,若企業選擇支付贖金,必須要向政府申報。
企業向駭客支付贖金,往往是因為擔憂用戶數據被洩露,然而據BBC報導,英國警方曾駭入一個從事網絡勒索的團體,發現該團體在收到贖金後,並沒有按照約定刪除盜取的數據。儘管Canvas事件目前暫告一段落,但各國政府與教育機構仍在密切關注被洩露的用戶數據動向,並呼籲受影響學生與教職員工要提高警覺,一旦發現收到可疑信息,要向相關機構報告。
