2.31億筆學生資料遭挾持，駭客倒數計時

5月12日。這個日期現在對全球約9,000所學校的師生來說，意味著一個不確定的威脅——如果Instructure不向駭客妥協，2億3,100萬人的個人資料將被公開在網路上。

事件始末：一週內兩度遭入侵

Instructure是美國教育科技領域的重要業者，旗下平台Canvas被全球數千所學校用來管理課程、作業與師生溝通。本週二，該公司首度披露遭受資料外洩，駭客竊取了學生姓名、個人電子郵件地址，以及師生之間的私訊內容。

然而事情並未就此結束。據TechCrunch報導，駭客組織ShinyHunters隨即對三所學校的Canvas登入頁面發動攻擊，透過注入HTML檔案的方式篡改介面，顯示勒索訊息：若Instructure不「協商和解」，將於5月12日公開所有竊取的資料。ShinyHunters成員向TechCrunch確認，這是與首次入侵完全獨立的第二次攻擊。

事發當時，Instructure官網頻繁出現「請求過多」的錯誤訊息，Canvas入口則顯示「定期維護中」的公告。截至發稿，該公司未回應媒體的置評請求。

ShinyHunters並非新面孔。這個組織近年來屢屢以相同手法作案：入侵、公開、勒索，目標橫跨企業與機構。此次選擇主動聯繫媒體、公開篡改登入頁面，顯示他們正在刻意升高壓力，試圖迫使Instructure就範。

為何這次不只是「又一起資料外洩」

廣告

廣告合作

[email protected]

廣告

資料外洩事件在全球已非罕見，但這次的案例有幾個值得深思的面向。

首先是受害者的身份。被竊取資料的是學生——其中包含大量未成年人。與企業客戶資料不同，學生資料涵蓋學習紀錄、私人對話，甚至可能包含涉及家庭狀況或心理健康的敏感內容。這類資料一旦流出，其潛在危害難以量化。

其次是規模。宣稱涉及2億3,100萬人的資料，即便打折扣計算，也是近年教育領域最大規模的外洩事件之一。對比之下，台灣全國人口約2,300萬，這個數字相當於台灣人口的十倍。

第三是平台的核心地位。Canvas不是邊緣工具，而是許多學校日常運作的核心系統。學校難以在短期內切換平台，這正是駭客選擇此類目標的戰略邏輯——受害者的替換成本越高，談判籌碼就越大。

各方視角：誰該負責？

從學校管理者的角度來看，他們面臨的是一個兩難困境：繼續使用可能已被滲透的平台，或是在學期中途強行切換系統，兩者都會對師生造成衝擊。更根本的問題是，學校在選擇第三方服務時，是否有能力評估其資安水準？

對於家長而言，最令人不安的或許是資訊不對稱。孩子的資料存放在哪裡、由誰保管、發生問題時誰來負責——這些問題，多數家長從未被告知，也從未想到要問。

從華語地區的視角來看，此事件有其特殊意義。台灣、香港、東南亞華人社群的學校近年來大量採用西方教育科技平台，Canvas、Google Classroom、Microsoft Teams等產品已深入校園。當這些平台發生資安事故，亞洲用戶往往處於資訊取得的末端——不是第一時間收到通知的對象，也缺乏直接的法律救濟管道。

值得注意的是，中國大陸的教育體系在平台選擇上走了一條截然不同的路徑。受制於數據本地化法規，中國學校普遍使用國內自建或本土化的系統，在這一波西方教育科技平台的資安危機中，反而形成了某種結構性的隔離。這並不意味著本土平台更安全，但確實呈現出不同的風險分佈圖。