第二次Canvas数据泄露事件发生于何时？

针对Instructure的Canvas平台的第二次未经授权访问事件发生于5月7日。此次事件紧随此前一次泄露之后，令外界担忧原有漏洞是否已得到彻底修复。

哪些大学受到此次泄露事件的影响？

宾夕法尼亚州立大学是受影响最为突出的机构之一，加利福尼亚大学系统和加利福尼亚州立大学系统、弗吉尼亚州各院校以及多所国际高校同样受到波及。

宾夕法尼亚州立大学针对此次泄露采取了哪些应对措施？

宾夕法尼亚州立大学取消了原定考试，并暂时限制了教职人员和学生对Canvas的访问。此次事件发生于期末考试季，造成的干扰尤为严重。

这是Canvas首次遭遇数据泄露吗？

不是，这是第二次泄露事件；臭名昭著的ShinyHunters黑客组织此前已确认实施了一次更早的泄露事件，影响了全球多所机构的数百万学生和教育工作者。

第二次Canvas数据泄露事件波及宾夕法尼亚州立大学等多所高校考试

5月7日，Instructure的Canvas平台遭遇第二次未经授权的访问事件，在高等教育领域引发强烈震动，迫使包括宾夕法尼亚州立大学在内的多所高校取消考试、限制平台访问，并紧急制定应急预案。此次影响众多学校和院校的Canvas数据泄露事件，标志着针对集中式教育技术平台的攻击正在以令人警惕的态势升级，数以百万计的学生的敏感学术信息和个人数据正处于高度风险之中。

第二次Instructure数据泄露事件经过

5月7日，Instructure确认其Canvas学习管理系统再度遭遇未经授权的访问事件。尽管完整的技术细节仍十分有限，此次泄露紧随此前一次事件之后发生，表明原有漏洞要么未得到彻底修复，要么攻击者找到了进入平台基础设施的新途径。

Instructure表示，问题最终已得到解决，Canvas已恢复全面正常运营，在披露时未发现持续的未授权访问迹象。然而，这一保证未能有效平息数千所依赖Canvas进行课程教学、考核评估及存储敏感学生记录的学校的担忧。

此次第二次事件是针对Instructure的一系列更广泛攻击的组成部分。正如ShinyHunters入侵Instructure Canvas事件：学生信息遭泄露一文所述，臭名昭著的ShinyHunters黑客组织此前已确认实施了一次影响全球多所机构数百万学生和教育工作者的数据泄露事件。5月7日的事件叠加于此前的入侵之上，令外界质疑在此期间是否采取了足够的安全改进措施。

哪些学校受到波及及其影响

宾夕法尼亚州立大学是受影响最为突出的机构之一，该校取消了原定考试，并暂时限制了教职人员和学生对Canvas的访问。此次泄露发生的时机尤为不利——正值许多高校期末考试季，学生最为依赖该平台提交作业、获取课程材料及参加在线测评。

除宾夕法尼亚州立大学外，加利福尼亚大学系统和加利福尼亚州立大学系统据报也受到波及，弗吉尼亚州及其他州的多所院校同样受到影响。此次泄露波及全球多所大学，其国际范围进一步凸显了Canvas已深度嵌入全球学术基础设施的现实。

对学生而言，其实际影响远不止错过一个截止日期那么简单。考试取消为即将毕业的学长和有时间敏感学业要求的学生造成了日程安排上的混乱。教职人员不得不在短时间内通过备用渠道与学生沟通，管理人员也必须在调查仍在进行期间迅速决策是否继续信任该平台。

为何集中式教育技术平台存在隐私风险

Instructure被屡屡攻击，暴露了现代教育技术中的一个结构性问题：来自数千家机构的敏感数据高度集中于单一供应商的基础设施之上。Canvas为全球估计逾9,000所教育机构提供服务。如此规模使其成为网络犯罪分子极具价值的攻击目标，因为一次成功的入侵即可一次性获取数百万人的学术记录、个人身份信息乃至潜在的财务数据。

这正是单点故障的定义所在。当一个学校系统运行自己的本地基础设施时，数据泄露的危害有限且可控。而当数千所学校将数据外包给同一平台时，任何攻击所波及的范围都将变得极为巨大。ShinyHunters组织正是意识到这一点，据报该组织声称在一次相关的Instructure事件中访问了近2.75亿条记录，详情参见ShinyHunters声称在Instructure泄露事件中获取2.75亿条记录。

美国《家庭教育权利和隐私法》（FERPA）等监管框架要求教育机构保护学生记录，但当数据由第三方供应商持有时，相关义务与执法机制便变得错综复杂。即便学校并非此次攻击的直接目标，也可能面临法律责任风险。

学生和教职人员如何保护敏感学术数据

尽管机构层面的安全决策权归属于管理人员和IT部门，但学生和教职人员仍可采取切实措施降低个人风险。

使用强密码且不重复使用。 若您在多个平台使用相同密码，一旦Canvas凭证遭到泄露，攻击者可能对您的电子邮件、银行或其他账户发起凭证填充攻击。请使用密码管理器为每项服务生成并存储唯一凭证。

尽可能开启多因素身份验证。 Canvas和大多数机构单点登录系统均支持多因素身份验证（MFA）。启用后，仅凭被盗密码将无法让攻击者访问您的账户。

警惕网络钓鱼攻击。 重大泄露事件发生后，攻击者往往会发送冒充受影响平台或相关机构的后续钓鱼邮件。对任何要求您重置凭证或验证账户信息的陌生邮件保持警惕。请直接访问机构官方网址，而非点击邮件中的链接。

监控您的学术记录和个人信息。 若您所在机构确认您的数据包含在此次泄露中，请考虑申请信用冻结，并监控是否出现任何身份被滥用的迹象。学籍记录和学生证件可能被用于有针对性的社会工程攻击。

向您所在机构寻求具体说明。 依据FERPA规定，学校有义务就影响学生记录的数据泄露事件通知学生。请勿被动等待；请主动联系您的教务处或IT部门，直接询问涉及哪些数据以及正在采取哪些保护措施。

这对您意味着什么

此次影响众多学校和院校的第二次Canvas数据泄露事件再次提醒我们：便利性与集中化背后存在着代价与权衡。数以百万计的学生信任自己所在的学术机构，以及这些机构所依赖的供应商，相信它们在妥善保护个人信息。而这份信任在短短时间内已两度受到考验。

对学生和教育工作者而言，当务之急是加固个人账户安全，并对后续攻击保持高度警惕。对各机构而言，此次泄露事件应促使其认真审视供应商安全要求、数据最小化实践，以及针对第三方平台宕机或遭受入侵的应急预案。

如需全面了解与Instructure相关攻击事件及涉事威胁行为者的情况，请参阅上文链接的ShinyHunters泄露事件详细报道。了解这些事件的起因和手法，是推动您和您所在机构每天依赖的平台提供更有力保护的第一步。