廣受美國及全球學術機構使用的教學管理系統 Canvas,日前驚傳遭到駭客組織「ShinyHunters」入侵。該組織聲稱已從系統中竊取約 6.65 TB 的數據,內容涵蓋全球近 9,000 所學校的學生姓名、電子郵件地址,以及學生與教職員之間的私訊內容。由於正值學期末,許多學生忙於期末作業與考試,系統一度癱瘓導致校園運作大受影響。
Canvas 母公司 Instructure 的執行長 Steve Daly 在週一的部落格文章中公開致歉。他表示:「我應該從道歉開始。」他坦承在事件發生初期,公司的溝通頻率不足,讓許多面臨壓力的校方與學生感到困擾。Daly 承諾,未來公司將提供更透明、即時的更新資訊,以重建使用者的信心。
針對外洩內容,Daly 澄清雖然使用者名稱、課程名稱及訊息等資訊遭到非法存取,但核心學習數據如課程內容、作業繳交紀錄及憑證等並未受損。初步調查發現,駭客是利用「教師免費版」(Free for Teacher)環境中的支援工單漏洞進行攻擊。目前該功能組件已暫時關閉,公司正進行全面的安全審查,並強調 Canvas 目前已恢復正常運作且使用安全。