Instructure Canvas 泄露事件中，哪些类型的数据被盗？

被泄露的数据包括姓名、电子邮件地址和学生证号码，并有迹象显示平台通讯内容、学术记录、课程内容以及机构内部消息也可能遭到访问。

谁受到了 Canvas 数据泄露事件的影响？

此次泄露影响了各教育层次的用户，包括本科生、研究生、教职人员及行政人员，涉及数十个国家的数千家机构客户。

Instructure 向 ShinyHunters 支付赎金是否解决了此次数据泄露问题？

没有。法律专家警告称，支付赎金仅降低了公开转储数据的直接威胁，既无法满足泄露通知法律的要求，也无法确认被盗数据已被永久删除。

Instructure 能否核实 ShinyHunters 在收到付款后销毁了被盗数据？

不存在数据已被销毁的独立核实，因为目前没有可靠机制可以确认威胁行为者未保留副本、未共享数据，或在达成和解之前未将访问权限出售至地下市场。

为何 ShinyHunters 组织被视为持续存在的重大风险？

ShinyHunters 有大规模数据泄露和数据变现的有据可查的历史，这意味着个人和机构风险并不一定因财务协议的签署而消失。

Instructure Canvas 数据泄露：学生仍面临的风险

Instructure Canvas 数据泄露事件令全国各地的高等教育机构深感震动，但向 ShinyHunters 黑客组织支付赎金并未为此次事件画上句号。法律专家现已警告，付款压制被盗数据与解决学校、大学及其服务的学生和教职人员仍需承担的根本义务是两回事。对于数百万信息曾经过 Canvas 系统的人而言，这一事件远未结束。

究竟什么数据被盗，谁受到了影响

根据对此次事件的报道，被泄露的数据包括姓名、电子邮件地址以及学生证号码，涉及数十个国家的数千家机构客户。此次泄露似乎源于对 Canvas 基础设施后端的入侵，这意味着数据暴露并不局限于某一所学校或某一地区。由于 Canvas 是美国使用最广泛的学习管理系统之一，潜在受影响人数极为庞大。

除基本身份信息外，有迹象显示 Canvas 平台内的通讯内容可能也遭到访问。这一细节至关重要，因为它将数据暴露的范围扩展至简单联系信息之外。学术记录、课程内容以及机构内部消息，都可能是 Instructure 发现入侵之前被窃取的内容。

此次泄露影响了各教育层次的用户，包括本科生、研究生、教职人员及行政人员。在相关时间段内曾通过受影响机构使用 Canvas 的所有人，均应将其个人信息视为可能已遭泄露。

为何支付赎金并不能终结你的风险敞口

当 Instructure 与 ShinyHunters 组织达成财务和解后，公开转储数据的直接威胁有所降低。但法律分析人士迅速指出，这一安排仅解决了更大问题的一小部分。正如Instructure 向 ShinyHunters 支付赎金一文中详细报道的那样，该公司确认了财务协议，但数据已被永久删除的说法尚未得到独立核实。

这是一个关键区别。支付赎金换来的是沉默，而非确定性。目前没有可靠机制可以核实威胁行为者是已销毁被盗数据，还是保留了副本、与其他方共享，或在达成和解之前便已将访问权限出售至地下市场。ShinyHunters 组织有大规模数据泄露和数据变现的有据可查的历史，这意味着机构和个人风险并不会因为签署了协议便自动消失。

从监管角度来看，支付赎金也无法满足违规通知法律的要求。在美国，《家庭教育权利和隐私法》（FERPA）、各州数据保护法规以及行业特定法规均对持有学生数据的机构施加了独立义务。向黑客付款并不构成向监管机构的通知。

通知缺口：学校和大学仍须履行的义务

这正是数千家使用 Canvas 的机构在合规层面面临复杂局面之处。Instructure 是一家供应商，而非大多数学生记录的数据控制者。各大学、学院和学区仍保有自身的法律义务，须向受影响个人以及在许多情况下向相关监管机构发出通知。

分析此次事件的法律专家指出，机构客户不能将 Instructure 的行动（包括支付赎金）视为履行自身通知义务的替代手段。许多机构受州级数据泄露通知法的约束，该法律要求在泄露得到确认后的特定时限内进行披露。其中一些计时可能已经开始。

对于受 FERPA 约束的机构而言，学生教育记录的泄露对如何以及何时通知受影响学生有具体要求。研究生教育机构若其通过 Canvas 通讯可访问研究数据或联邦资助项目信息，可能面临额外义务。多层监管环境意味着每家机构都需要进行自己的法律评估，而不能笼统依赖 Instructure 的公开声明。

对于尚未收到所在机构任何直接通知的学生和教职人员而言，这一通知缺口尤为突出。如果你的学校尚未联系你，这种沉默并不意味着你的数据未受影响。

学生和教职人员现在可以采取的实际步骤

等待机构通知并不是完整的应对策略。个人现在可以采取具体行动来降低持续的风险敞口。

首先，监控你与 Canvas 关联的电子邮件账户，防范网络钓鱼攻击。被盗的电子邮件地址和姓名常被用于精心构造极具欺骗性的鱼叉式网络钓鱼邮件，通常伪装成大学 IT 部门或助学金办公室。对任何意外索取凭据或个人信息的请求保持高度警惕。

其次，更改任何与你的 Canvas 登录凭据相同的账户密码。密码复用仍是单次数据泄露引发多账户被接管最常见的方式之一。如果你在其他地方使用了相同的密码，请立即更新这些账户，并在所有可用之处启用多重身份验证。

第三，如果你的学生证号码属于被泄露数据之列，请考虑向主要信用机构申请信用冻结。学生证号码有时可与其他数据结合用于实施身份盗窃，尤其是在涉及学生贷款账户或助学金的场景中。

第四，索取你所在学校的泄露通知计划副本，或直接向你所在机构的 IT 部门或注册处询问哪些数据受到影响以及他们正在采取哪些措施。你有权获取这些信息，而你的询问将形成文件记录，在后续法律程序中可能具有重要意义。

Instructure Canvas 数据泄露事件提醒我们，大规模教育平台对所有使用者都承载着重大的隐私风险。支付赎金或许暂时降低了某一风险，但并未解决受影响机构的学生和教职人员所面临的根本性数据暴露问题。及时了解所在机构的义务并采取独立的防护措施，是目前最有效的应对之道。