2026年5月,黑客组织ShinyHunters攻击教学平台Canvas,波及MIT、斯坦福、UC系等近9000所院校,2.75亿师生姓名、学号、邮箱等隐私泄露。黑客设5月12日赎金死线,并二次篡改登录页面。本文梳理攻击时间线、数据泄露风险,并提供5项紧急自救措施:警惕钓鱼邮件、修改密码并开启双重验证、备份作业资料、关注官方通知、异常及时上报。适合所有留学生及教育从业者阅读。
Tags:
就在 2026 年 5 月 8 日,一条消息炸穿整个留学圈 ——全球留学生的 “生命线” Canvas 教学系统,遭遇史上最狠黑客攻击,MIT、斯坦福、UC 全系、墨大、阿姆斯特丹大学等近 9000 所院校集体中招,2.75 亿师生隐私悬于一线,期末周直接变 “末日生存”。
有人赶 due 写到凌晨,点提交瞬间页面崩了;有人正在考 final,系统直接跳黑客勒索信;还有人狂喜:终于不用考试了?这场席卷全球的 “教育界网络 911”,到底有多离谱?今天一次性扒透全程,留子必看自救指南,手慢无!
图源 MIT 校报 The Tech
先给不留学的朋友科普一句:Canvas = 留学生的半条命。它是美国 Instructure 公司旗下的全球顶流教学管理平台,北美超过41% 高校死死依赖,从哈佛、MIT、斯坦福,到 UC 伯克利、 UCLA、康奈尔、宾大、芝加哥大学,再到澳洲墨大、欧洲荷兰高校,几乎你叫得出名字的世界名校,全在它的 “统治范围” 里。
留子的日常:
上课看课件、刷录播→Canvas
交作业、写论文、Turnitin 查重→Canvas
查成绩、看 GPA、跟教授私信→Canvas
期末复习资料、考试入口→全在 Canvas
可以说,Canvas 一崩,留学直接停摆。
偏偏黑客选了最狠的时间点—— 全球高校期末季!学生们熬秃脑袋赶 due、刷夜备考,结果系统直接被黑客 “接管”,这波精准打击,堪称 “留学版精准爆破”。
这不是一次冲动作案,而是预谋已久的供应链攻击,节奏踩得比教授 syllabus 还准:
4 月下旬:幽灵渗透,无声入侵
黑客组织ShinyHunters悄悄摸到 Instructure 云环境,利用 API 漏洞潜入系统,全程零警报,像幽灵一样在后台游走,开始批量扒取数据。
4 月 30 日:校方发现,嘴硬 “无大事”
安全团队终于察觉异常访问,紧急回收权限,对外安抚:问题不大,无重大影响。谁也没料到,这只是暴风雨前的宁静。
5 月 2 日:实锤泄露,官方承认
Instructure 顶不住压力,首次公开承认数据泄露,拉来第三方取证机构介入调查,但没透露具体规模,留学生还没意识到危险逼近。
5 月 5 日:王炸公布!9000 所院校、2.75 亿用户、3.65TB 数据
ShinyHunters 直接甩证据:已偷走 3.65TB 数据,覆盖全球近 9000 所院校、2.75 亿师生,并甩出受影响院校清单,名校密密麻麻,留学圈瞬间炸锅。
5 月 7 日:二次入侵,勒索信霸屏登录页
黑客没给任何喘息机会,直接篡改 Canvas 登录界面,大红字勒索通知直接糊脸:
“ShinyHunters 已再次入侵!你们只打补丁没用!5 月 12 日前缴赎金,否则全网公开所有数据!”
登录页直接变 “勒索广告牌”,全球学生点开页面,全是黑客的 “宣战书”,场面一度失控。
5 月 8 日:多国调查,高校慌了,留子疯了
Instructure 紧急更新公告,承认数据泄露,但坚称密码、财务信息未外泄;美、澳、英、荷等国监管机构启动调查;高校连夜发应急方案,留子一边慌隐私,一边乐不用考试。
短短十几天,从悄无声息到全球震荡,黑客把教育巨头按在地上摩擦,这波操作,直接载入网络安全史。
敢一次性刚 9000 所高校、拿捏 2.75 亿人数据,这个 ShinyHunters 到底什么来头?说它是全球最嚣张的黑客组织一点不夸张:
2019 年出道,专挑巨头下手,战绩吓人:Ticketmaster、Google、Rockstar Games(GTA 母公司)、ADT 家庭安全、欧盟委员会全被它啃过;
核心成员寥寥数人,靠加密通讯联动,无固定据点,像 “网络幽灵”;
最爱供应链攻击:不硬闯防火墙,而是钻供应商漏洞,借 “信任链” 批量偷数据,这次 Canvas 就是栽在云 API 漏洞上;
手段狠辣:偷数据→锁系统→贴勒索信→设死线,一套流程行云流水,这次直接给每所高校开价千万美元,双轨勒索拿捏平台和学校。
更离谱的是,这是8 个月内它第二次入侵 Instructure,相当于把教育巨头的防御当纸糊,嚣张到极致。
期末季遇上系统崩盘,留子的反应直接分裂成两派,苦中作乐到极致:
狂喜派:黑客救我狗命!
“本来明天交论文,一字没写,现在页面崩了,谢谢黑客侠!”
“墨大千万别交钱!让黑客黑到 final 结束!”
“黑客哥哥,顺手把我 GPA 改高点,孩子想毕业!”
崩溃派:我真的会谢!
“正在考期中,系统直接跳勒索信,白复习一周!”
“课件全在 Canvas,现在下载不了,期末裸考?”
“作弊群私信全被偷了,这下彻底社死,教授要顺着网线来抓我了!”
Instructure 反复强调:密码、财务信息、身份证号没泄露。但!泄露的信息依然致命:姓名 + 学号 + 邮箱 + 私信内容 + 课程信息,这一套组合,是诈骗分子的 “黄金素材”。
想想看:
黑客拿着你的真名、学号、专业,发钓鱼邮件:“Canvas 系统升级,点击链接重新登录”,你点不点?
冒充教授发邮件:“作业紧急修改,点击下载附件”,附件一打开,手机电脑直接被黑;
精准杀猪盘:通过私信知道你独居、刚交学费,针对性诈骗,成功率翻倍。
这不是危言耸听,数据泄露的后续伤害,比系统崩几天更可怕。
不管你学校 Canvas 恢复没,现在立刻照做,保护自己:
1. 死盯钓鱼邮件,不点任何可疑链接
凡是自称 “Canvas 官方”“学校 IT”“教授”,让你登录、验证、下载附件的,一律通过官网二次核实,别手贱点链接!
2. 立刻改密码,开启双重验证
学校邮箱、Canvas、校园门户,全部改独立强密码,别用生日、学号,开启 2FA 双重验证,多一层防护,少一分风险。
3. 作业资料紧急备份,留好证据
Canvas 随时可能再崩,所有课件、论文、复习资料立刻下载本地 + 云盘双备份;无法交作业,马上邮件发给教授,保留时间戳,申请延期,别让系统问题背成绩锅。
4. 紧跟学校官方通知
关注学校邮箱、IT 公告、教授通知,很多高校已启动备用系统、线下提交、考试延期,跟着官方走,不踩坑。
5. 异常立即上报,保护账号
发现账号异常登录、陌生邮件,第一时间联系学校 IT 冻结账号,保存证据,必要时报警 + 联系国际生办公室。
这次 Canvas 被黑,看似是一场期末 “闹剧”,实则给所有留子敲了警钟:我们总觉得 “云平台很安全”,但别忘了 ——云,本质上是别人的电脑。
再大的公司、再牛的系统,都做不到 100% 安全,真正能保护你的,从来不是平台,而是自己的习惯:
不共用密码、定期更换;
不随意上传证件、不发敏感私信;
公共 Wi-Fi 不登敏感账号;
重要资料随时备份。
5 月 12 日,黑客的赎金死线越来越近,后续如何发展,我们持续关注。最后灵魂一问:你们学校 Canvas 恢复了吗?期末保住了吗?如果你想申请美国高校,拿下梦校的录取,或在留学生活中遇到任何问题
扫描下方二维码!
即刻咨询导师
Hedy
· VIP首席顾问
· 10年+教育行业经验
匹兹堡大学心理学硕士,从业多年熟悉美国教育体系。善于与学生沟通,了解学生心理变化,擅长挖掘学生背景,深入分析学生的性格特质、优势与劣势,打造个性化的专属申请方案。
成功案例:加州大学伯克利分校、加州大学洛杉矶分校、宾夕法尼亚大学、卡内基梅隆大学等。
#
长按扫码
咨询服务
最新发布!2025 QS 世界大学学科排名来了—哈佛领跑,MIT制霸工程领域
全美30所「STEM专业」最佳大学出炉!斯坦福、CMU居然没进前十?
没有评论:
发表评论