全球逾 330 所大學受影響！ShinyHunters 再度入侵 Instructure，竄改 Canvas 登入頁面

2026 / 05 / 11

編輯部

全球逾 330 所大學受影響！ShinyHunters 再度入侵 Instructure，竄改 Canvas 登入頁面

駭客組織 ShinyHunters 對教育科技業者 Instructure 發動第二波攻擊，利用系統漏洞竄改 Canvas 學習管理系統的登入頁面，影響全球逾 330 所大學與學院。此次事件不僅造成課程中斷，也引發大規模資料外洩與勒索危機。

登入頁面遭竄改，勒索訊息公開施壓

攻擊者在多所大學的 Canvas 登入頁面植入竄改訊息，其中包含維吉尼亞理工大學的 canvas.vt.edu。訊息聲稱 ShinyHunters「再次入侵 Instructure」，並指控該公司無視先前聯繫，只以「資安修補」敷衍回應。攻擊者要求各受影響學校在 2026 年 5 月 12 日前透過 TOX 私下接洽協商贖款，否則將公開外洩所有竊取資料。

竄改頁面約 30 分鐘後即遭下架，Instructure 隨即暫時停機 Canvas 整體服務以進行應對。同樣的勒索訊息也出現在 Canvas 行動應用程式中，顯示攻擊範圍不僅限於網頁介面。

科羅拉多大學科羅拉多泉分校的學生表示，當地時間下午 1 時左右服務開始不穩定，作業、課程檔案與考試系統皆無法正常存取。類似情況也在社群媒體與各校討論區陸續傳出，且時間點正值期末考季，衝擊尤為顯著。

事件源起：4 月底的初次入侵

Instructure 早前已確認，攻擊始於 2026 年 4 月 30 日；駭客利用漏洞取得系統存取權限，迫使公司關閉 Canvas Data 2 與 Canvas Beta 等服務，連帶影響仰賴 API 金鑰運作的第三方整合與外部應用程式。

Instructure 的官方聲明指出，目前已知外洩資訊包含使用者姓名、電子郵件地址、學生證號碼，以及站內私訊紀錄；尚無證據顯示密碼、出生年月日、政府識別碼或財務資訊遭到存取。

不過，ShinyHunters 的說法遠比官方版本嚴峻。該組織宣稱已竊取 3.65TB 資料，涵蓋約 2.75 億筆紀錄與數十億則師生私訊，涉及全球近 9,000 所機構。受影響名單中不乏頂尖學術機構，包括牛津大學、劍橋大學、哈佛大學、史丹佛大學、哥倫比亞大學、墨爾本大學及英屬哥倫比亞大學等。此外，該組織還聲稱已入侵 Instructure 的 Salesforce 管理客戶資料的雲端資料庫。上述數字尚未獲獨立驗證，但多家資安研究機構追蹤後認為此次行動規模確實龐大。

同期：Vimeo 也遭供應鏈攻擊

同一時期，ShinyHunters 也透過供應鏈攻擊入侵影片平台 Vimeo。攻擊者並非直接鎖定 Vimeo，而是先入侵其合作夥伴 Anodot，竊取身份驗證權杖，再藉此存取 Vimeo 在 Snowflake 與 BigQuery 的雲端資料環境。約 11.9 萬個帳號受到波及，外洩資訊包含客戶電子郵件地址、姓名及影片元資料。

Vimeo 表示已立即停用所有 Anodot 憑證並移除相關整合，並確認影片內容、有效登入憑證及付款卡資訊均未外洩，系統運作亦未受到中斷。目前 Vimeo 已委託第三方資安專家介入調查，並通報執法機關。

ShinyHunters 的攻擊模式與背景

ShinyHunters 自 2018 年起持續活躍，近年尤以資料竊取與勒索攻擊見長，主要鎖定 Salesforce 及其他雲端軟體即服務（SaaS）環境。其常見手法包括入侵第三方整合商、竊取身份驗證權杖，並藉此橫向滲透至關聯的企業服務，目標涵蓋 Microsoft 365、Google Workspace、SAP、Slack、Atlassian、Zendesk 及 Dropbox 等平台。

該組織也擅長以語音網路釣魚攻擊 Okta、Microsoft 與 Google 的單一登入（SSO）帳號，假冒 IT 支援人員誘騙員工提供憑證與多因素驗證（MFA）碼。近期則改採裝置碼網路釣魚手法，以竊取 Microsoft Entra 的身份驗證權杖。

儘管已有多名涉案成員遭到逮捕，包括與 Snowflake 資料竊取攻擊、PowerSchool 入侵事件及 Breached v2 駭客論壇相關的嫌疑人，但以 ShinyHunters 名義發動的勒索行動至今未曾停歇。部分資安研究人員指出，該名稱已演變為一種「勒索即服務 (extortion-as-a-service)」模式，由多個行為者共用品牌，代替其他威脅行為者執行勒索行動並分成。