Canvas學習平台遭駭：學生資料外洩，駭客公開要脅

當學生打開學習平台，看到的不是作業，而是駭客的勒索聲明——這不是電影情節，而是2026年5月真實發生的事。

事件始末

全球最廣泛使用的學習管理系統（LMS）之一，Canvas，其母公司Instructure日前確認遭受大規模資料外洩。外洩資料涵蓋學生姓名、電子郵件地址、學號及平台內部訊息記錄。

本週四，嘗試登入Canvas的學生看到一則異常訊息，來自駭客組織ShinyHunters。訊息內容直白且具威脅性：「我們再次入侵了Instructure。他們選擇忽視我們，只做了一些『安全修補』。若受影響學校希望阻止資料公開，請諮詢資安顧問公司並透過TOX私下聯繫我們……」

這段聲明中，「再次（again）」一詞格外刺眼。這意味著此次並非首次入侵，而Instructure選擇以技術修補代替溝通，最終付出了更大的代價。

ShinyHunters並非無名之輩。這個組織過去曾被指控入侵Ticketmaster（外洩5.6億筆客戶資料）及AT&T（7,300萬筆帳戶資訊），是國際執法機構長期追蹤的目標。他們選擇教育平台作為攻擊對象，背後有清晰的邏輯：學校握有學生的敏感資料，且往往面臨「不能讓資料曝光」的巨大壓力，是談判籌碼豐厚的目標。

為何這件事與華人世界有關

Canvas在全球超過70個國家的高等教育機構中被採用，台灣、香港及東南亞多所大學均在使用名單之列。疫情後，遠距教學與混合式學習成為常態，學習管理系統已成為學校基礎設施的核心，而非選配工具。

問題在於，數位化程度越高，攻擊面就越大。Canvas上儲存的不只是作業檔案，還包括師生之間的私訊、學習歷程、出席紀錄，有時甚至涉及學生的心理輔導記錄。這些資料的敏感程度，並不亞於金融資訊。

廣告

廣告合作

[email protected]

廣告

值得關注的是，中國大陸教育機構普遍使用自主研發或國內廠商提供的LMS系統（如學堂在線、雨課堂等），對境外平台的依賴程度相對較低。這在資安層面形成了一種結構性差異：境外平台的資安事件，對大陸學生的直接影響有限；但對台灣、香港及海外就讀的華人學生而言，風險則是真實且即時的。

三方視角的角力

這起事件並不只是「一家公司出了問題」，而是揭示了教育科技生態中，多方利益與責任之間的結構性矛盾。

從學生與家長的角度，最直接的疑問是：我的資料現在在哪裡？會被怎麼使用？電子郵件地址外洩可能引發釣魚詐騙，學號洩漏可能導致身份盜用。然而，大多數受害者在事發後相當長的時間內，都無法得到明確的答案。

從教育機構的角度，Canvas已深度整合進學校的教學流程，短期內難以替換。但繼續使用一個已被多次入侵的系統，又如何向學生和家長交代？更棘手的是，若回應駭客的要求，等同於向其他攻擊者釋放「學校會妥協」的訊號。

Instructure本身的處境則更為兩難。拒絕與駭客談判，在原則上是正確的；但若後續的技術修補未能有效阻止再次入侵，這個決策就顯得代價高昂。企業的公信力，往往不是在危機前建立，而是在危機後的應對中決定的。

教育資安的結構性困境

這起事件所揭示的，是一個更深層的困境：教育機構在資安投入上，長期處於「夠用就好」的思維之中。與金融機構或醫療機構相比，學校的資安預算通常更為有限，專業人才也更難留住。

然而，學校所掌握的資料，在某些維度上比銀行帳戶更難復原——一個學生的學習歷程、心理輔導記錄、師生私訊，一旦外洩，無法像密碼一樣「重設」。

在台灣，個人資料保護法對資料外洩的通報義務有明確規範；香港的《個人資料（私隱）條例》同樣設有相關要求。但法規的存在，與實際執行之間，往往存在落差。此次事件或許會成為推動教育資安法規強化的一個節點，但歷史告訴我們，政策回應通常慢於威脅演化的速度。