美國教育平台 Canvas 遭駭客攻擊 逾九千所學校個資恐外洩

近日，美國教育科技公司 Instructure 旗下的 Canvas 學習管理平台遭遇重大數據洩露事件，駭客組織 ShinyHunters 聲稱已成功入侵其資料庫。此事件恐影響全美多達 9,000 所大專院校的用戶，包括學生姓名、電子郵件地址及學生證號碼等個人資料面臨外洩風險。

ShinyHunters 已向受影響的 Canvas 用戶發送勒索訊息，警告若不支付贖金，這些被竊取的數據將會被公開。據報導，駭客透過在登入頁面注入 HTML 檔案來顯示其勒索訊息，要求在 5 月 12 日前與他們聯繫以進行和解談判。該組織自 2019 年以來便十分活躍，過去曾多次發動網路攻擊。

Instructure 方面表示，在發現異常後已迅速控制並修復了相關問題。然而，在美東時間週四（5月7日），印第安納大學布盧明頓分校等教育機構的用戶仍通報遭遇 Canvas 全球服務中斷，導致登入困難。Instructure 隨後在其狀態頁面承認 Student ePortfolios 存在問題，但強調 Canvas 的其他功能仍正常運作。

此次洩露的資訊主要包含用戶的姓名、電子郵件地址、學生證號碼以及用戶之間的訊息紀錄。值得注意的是，目前並無證據顯示使用者的密碼、出生日期、政府識別碼或財務資訊等敏感資料遭到外洩。然而，駭客已將部分據稱竊取的數據樣本分享給媒體 TechCrunch，證實其宣稱的真實性。此外，Charlotte-Mecklenburg Schools 當局也在上週末接獲這起資安漏洞的通報。

此次美國教育平台數據洩露事件，凸顯了教育機構在數位化轉型過程中面臨的嚴峻資安挑戰。面對日益複雜的網路攻擊手段，各國教育機構應引以為鑑，持續加強資安防護措施，以保障學生與教職員的數位隱私與數據安全。