2026年5月,黑客组织ShinyHunters攻击Canvas学习系统,导致全美超8800所学校无法访问。留学生面临Final考试暂停、作业截止日期混乱,私信等个人数据存在泄露风险。部分学校已将作业延期48小时,但需自行确认教授安排。适合美国在读大学生了解事件进展及应对措施。
Tags:
申请季来到尾声,美国各院校也纷纷开始宣布了新一学年的计划,看上去要变天!今天,我们就来看看名校的那些大动作吧!
昨天,整个北美留学圈经历了一场史无前例的“赛博末日”。不是外星人入侵,不是川普又宣布了什么离谱政策,而是:Canvas挂了。
那一刻,全美超过8800所学校、几百万学生的心理防线,跟着Canvas一起崩了。
当你的DDL掌握在暗网黑客手里
那天下午,哥伦比亚大学的本科生小李正蹲在巴特勒图书馆的角落里奋战。他面前的屏幕上开着七个标签页:四个是PDF文献,两个是Google Docs,还有一个是Canvas——上面有他明天要交的“当代文明”期末论文的提交入口。
论文还差一个结论段。他刚把最后一句写完,手指悬在“Submit”上方,准备做最后的祈祷。就在这时,页面突然白屏。
“网断了?”小李刷新了一下。
等待。转圈。白屏。
再刷新。
这一次,页面回来了。但他的Canvas首页……变得好陌生。原本应该显示课程卡片的地方,变成了一段英文。他凑近了看,一个字一个字地读:
“ShinyHunters has breached Instructure (again). Instead of contacting us to resolve it they ignored us and did some ‘security patches.’”
小李的眼皮跳了一下。他迅速扫到最下面,看到了一句让他血压飙升的话:
“You have till the end of the day by 12 May 2026 before everything is leaked.”
“完了。”他下意识地看了眼手机,发现留学生群已经炸了,消息以一秒十条的速度往上滚:
“Canvas是不是被黑了???”
“我这里也打不开了!”
“我midterm考到一半被踢出来了!”
“天哪有人看到那个勒索信了吗??我们所有Canvas私信都要被公开?!”
小李默默关上电脑,从包里摸出一杯在学校小卖部买的港式奶茶,猛灌了半瓶。糖分让他稍微镇定了下来。他盯着天花板,喃喃自语:“谢谢您啊黑客先生……让我在JD最后一门考试前夜体验了一把真正的社会性死亡预警。”
旁边桌的一个女生幽幽地接了一句:“你要是真考JD,应该感谢黑客给了你延迟提交的理由。”
北美大地的另一边,小周在加州某公立大学读大二,学的是计算机。他正在赶一门硬核系统课的project report,已经在图书馆连续坐了十四个小时。
他看到勒索信的瞬间,第一反应不是害怕,而是狂喜。
“DDL是不是要延迟了?是不是?!”他激动地抓住旁边同样在赶due的室友的胳膊。
室友面无表情地抽回手:“你先别高兴。你要是没做backup,你的代码现在全在Canvas上,而Canvas在黑客手里。”
小周的笑容僵住了。
是的,他的代码、他画的架构图、他写了一半的报告——全存在Canvas的“作业提交区”里,本地只存了一个三天前的版本。
“我怎么能这么蠢啊啊啊啊!!!”他抱着头,发出了图书馆有史以来最惨烈的哀嚎,惹来周围一片“shhhhh”。
一个小时后,教授在GroupMe里发了消息:“由于Canvas outage,作业截止日期延长48小时。但之前已提交的同学不受影响,请等待后续评分。”
小周的大脑飞速运转:如果他现在手里没有任何东西可以提交,但多了48小时——太好了,他可以重写!然而下一秒他就意识到,重写的代价是他要把过去三天的工作再做一遍,而他的咖啡已经喝完了,图书馆也即将关门。
他趴在桌上,脸埋在胳膊里,发出了一声闷闷的:“这世界终于颠成我想象的样子了。”
黑客的“光辉历史”
这次事件的主角,黑客ShinyHunters(闪亮猎人),其实已经不是第一次出圈了。
小编翻了一下去年的新闻,发现这个黑客组织堪称“教育界的噩梦”。早在2024年,他们就声称攻破了Ticketmaster,试图在暗网上出售用户数据。2025年,他们又盯上了多家教育科技公司,包括K-12学生信息系统Infinite Campus,以及著名教科书出版商McGraw Hill。
他们的操作手法极其专业:先是利用钓鱼电话和伪造的公司登录页面,骗取员工的多因素认证令牌,然后悄悄潜入云平台,把数据一锅端。最后在受害者网站上贴勒索信,给一个截止日期,不联系就公开数据。
这次对Canvas的攻击,其实早有预兆。
根据CNN和纽约时报的报道,早在5月1日,Instructure就发现了一次“网络安全事件”,当时他们声称已经“控制住了”问题,并表示泄露的信息可能包括用户名、邮箱、学号和一些私信记录,但不包括密码、生日、SSN等敏感信息。
然而ShinyHunters显然不满意这个说法。5月3日,他们在Ransomware.live网站上发布了一条勒索信息,声称已经拿到了2.75亿人的数据,包括“几十亿条私信”,并给Instructure设定了5月6日的最后期限。
Instructure没有公开回应。
于是5月7日,ShinyHunters动手了,黑进了Canvas的登录入口,把勒索信挂在了每一个用户的首页上。
这一招堪称“社会性死亡”级别的打击。你想想,几百万学生打开Canvas准备学习的页面,结果看到的是“你的私信马上要被公开”;这种恐惧感比任何勒索信都有效。
而更有意思的是,他们在这次勒索信里特意加了一句:
“Instead of contacting us to resolve it they ignored us and did some ‘security patches.’” (我们之前给过你们机会了,是你们自己不珍惜。)
学校怎么说?
Canvas被黑之后,全美各大学校各显神通。
常春藤联盟这次几乎是团灭。哈佛、普林斯顿、宾大、耶鲁……没有一个逃过Canvas瘫痪的波及。
哈佛的公告写得极尽学术风范,用了好几百字来描述事件本身,但最关键的信息,“学生作业怎么办”,直到最后一段才提了一句:“Instructors will communicate directly with students regarding any adjustments to deadlines.”
翻译:去问你教授,别问我。
普林斯顿稍微人性化了一点,明确表示“期末考试安排可能会调整,请关注后续通知”。
宾大则是发了一封很长的信,先回顾了本校去年被黑客攻击的惨痛经历(对,宾大2025年也被黑了,120万条数据泄露,连拜登孙女的信息都差点曝光),然后再谈这次Canva事件,最后以一句“我们将继续加强网络安全建设”收尾。
此外,网上突然开始流传一个说法:有些学校已经私下联系了黑客,交了一笔钱来换取数据的“暂不公开”。
但不管真假,“学校到底有没有交赎金”成了继“final还考不考”之后最热门的话题。
但根据Reddit上自称“业内人士”的匿名用户说,大家预计不会从 Canvas 看到或听到任何有关此问题的消息,因为这才是处理问题的正确方法。
Canvas 有网络保险、灾难恢复计划、年度渗透测试等,可能已经与外部律师和/或事件响应提供者进行了接触。
写在最后
终于,在煎熬了将近一天之后,好消息来了。
5月8日上午,Instructure发布公告称,Canvas已经全面恢复,大多数用户可正常访问。
同时,他们解释了造成此次故障的原因是一名未经授权的行为者利用了与公司“教师免费账户”相关的问题。
作为应对措施,Instructure表示他们已经暂时关闭了所有“教师免费账户”,并称这一决定是为了让核心服务尽快恢复正常。
此时此刻,全美图书馆里又响起了噼里啪啦的键盘声。虽然数据安全很重要,但在Final面前,留学生只想大喊:“别黑了!让我把这学期过完,哪怕你要曝光我跟教授那些‘舔狗式’的求情私信,我也认了!”
你的Canvas恢复了吗?教授给你延期了吗?欢迎在评论区分享你的“Canvas受难记”!
