駭客「歸還」資料後，Canvas宣布達成協議——這算解決了嗎？

3.5TB的學生資料，一紙神秘「協議」，以及一個沒有人敢大聲說出口的問題：錢付了嗎？

全球廣泛使用的學習管理系統（LMS）Canvas，其母公司Instructure本週宣布，已與上週入侵其系統的駭客集團「達成協議」。聲明稱，遭竊資料已被歸還，且承諾「不會有任何Instructure客戶因本次事件遭到勒索」。然而，這份協議的具體內容——尤其是是否支付了贖金——至今未獲披露。

事件經過：3.5TB的威脅

事件發生於本月初。以入侵大型企業著稱的駭客集團ShinyHunters宣稱成功滲透Canvas系統，並掌握了3.5TB的學生個人資料。這個數字相當龐大——以純文字資料計算，足以涵蓋數十億筆個人記錄。集團隨即發出勒索威脅：若不支付「和解金」，將公開全部資料。Canvas一度被迫暫時下線。

Instructure其後發表聲明，表示透過與駭客的「協議」取回了資料。但聲明措辭刻意模糊。「協議」（agreement）一詞，是企業在不正式承認支付贖金的情況下，常用來描述談判結果的說法。

ShinyHunters並非新面孔。這個集團過去曾攻擊Ticketmaster、AT&T、Santander銀行等大型機構，並有實際公開或販售竊取資料的紀錄。他們這次的「承諾」是否可信，客觀而言無從驗證。

「歸還資料」能信幾分？

這正是整起事件最值得深究之處。數位資料與實體物品根本不同——「歸還」並不等於「銷毀」。駭客是否保留了副本？是否已在取得贖金後將資料轉售給第三方？這些問題，Instructure的聲明完全沒有觸及。

廣告

廣告合作

[email protected]

廣告

從華人社群的角度來看，Canvas在台灣、香港、新加坡及東南亞各地的大學均有廣泛部署。若受影響的學生資料包含這些地區的用戶，相關學校和主管機關將面臨資料外洩通報義務的壓力。台灣依《個人資料保護法》、香港依《個人資料（私隱）條例》，均對個資外洩有明確的通知與申報規定。目前Instructure尚未公布受影響機構的具體名單或地區分布。

更深層的問題在於：向駭客妥協，究竟是解決問題，還是製造更大的問題？ 美國FBI及多數執法機構明確不建議支付贖金，理由是這會為下一次攻擊提供資金，並向其他犯罪集團傳遞「教育機構是軟柿子」的訊號。但站在Instructure的立場，面對數百萬名學生的個資可能公開曝光的風險，純粹堅守原則是否現實？

教育機構為何成為高價值目標

這並非偶然。全球網路安全研究機構的數據顯示，教育機構已成為勒索攻擊的主要目標之一。原因很直接：學校掌握大量敏感個資（學業記錄、健康資訊、未成年人資料），但資安投入往往遠低於金融或醫療機構。對攻擊者而言，這是「投報率」極高的目標。

ShinyHunters的策略也值得關注。他們選擇在學期末前後發動攻擊，時間節點對教育機構的壓力最大——此時學生考試、成績提交等關鍵流程高度依賴平台正常運作。這種對「時機」的精準把握，說明現代駭客集團的運作已高度組織化。

從比較視角來看，中國大陸的高校普遍使用自建或國內廠商的LMS系統，對境外平台的依賴度相對較低，在這類事件中的直接暴露風險較小。但這並不意味著問題不存在——中國大陸的教育資料外洩事件同樣時有發生，只是往往不以「駭客勒索」的形式呈現，而更多涉及內部資料管理漏洞。

各方如何解讀

學校IT管理者看到的是：將核心資料完全委託給單一境外雲端服務商的系統性風險。「雞蛋放在一個籃子裡」的問題，在這次事件中再度被放大。

學生與家長面對的現實是：即便Instructure聲稱資料已歸還，他們也沒有任何獨立的方式驗證這一點。個資一旦外洩，其影響可能在數年後才以身份盜用、詐騙等形式浮現。

資安業界則注意到，ShinyHunters此次選擇「談判」而非直接公開資料，可能反映出一種策略轉變——勒索的目的從曝光轉向獲利，這使得「支付贖金」的誘因更強，也讓執法機構的追查更加複雜。