美國國土安全委員會本周一向在線教育平臺Canvas的母公司Instructure發出傳喚信，要求CEO史蒂夫·達利（Steve Daly）就近期兩起重大網絡攻擊事件出庭作證。勒索組織ShinyHunters在一周內兩次攻破該平臺，竊取數百萬學生數據，并在期末考試期間癱瘓多州學校系統。

委員會主席安德魯·加巴里諾在信中寫道："委員會正在調查有關Instructure Holdings, Inc.近期網絡安全事件的令人擔憂的報告，這些事件影響了數千萬依賴其Canvas學習管理平臺的學生、教育工作者和管理人員。"

據BleepingComputer首次報道，Instructure于5月3日披露遭受入侵。公司隨后確認，4月29日檢測到威脅行為者已滲透其系統，竊取了使用Canvas平臺的學生及教職員工數據。泄露信息包括姓名、電子郵箱、學生學號以及師生在平臺上的往來消息，但未涉及密碼、財務信息或政府身份證件。

同一天，ShinyHunters勒索團伙宣稱對攻擊負責，并向BleepingComputer表示竊取了2.8億條數據記錄，涉及8,809所學院、學區和在線教育平臺。該團伙還公布了一份受影響教育機構名單，各機構被盜記錄數量從數萬條到數百萬條不等。

一周后，ShinyHunters發起第二輪攻擊，通過跨站腳本（XSS）漏洞獲取管理員認證會話，篡改Canvas登錄頁面并展示勒索信息，要求Instructure與其談判。此次破壞波及加利福尼亞、佛羅里達、喬治亞、俄克拉荷馬、俄勒岡、內華達、北卡羅來納、田納西、猶他、弗吉尼亞和威斯康星等多州院校，部分大學被迫取消期末考試。

國土安全委員會的信件特別提及，攻擊者公開聲稱因Instructure拒絕談判而再次發起攻擊。然而事件在昨夜出現轉折：ShinyHunters突然將Instructure從其數據泄露網站移除，公司隨即披露已與該團伙達成協議，阻止數據公開泄露。這一反轉引發外界對贖金談判的猜測，但Instructure未披露協議具體條款。

Canvas是美國最廣泛使用的學習管理系統之一，覆蓋從K-12到高等教育的數千萬用戶。此次事件暴露了教育科技平臺在勒索攻擊面前的脆弱性——當學校系統高度依賴單一供應商時，一次安全事件便能在關鍵時間節點癱瘓整個教育生態。國會介入調查意味著Instructure可能面臨更嚴格的監管審查，也為整個行業敲響警鐘。