堆代码讯 广受使用的校园信息门户Canvas的开发商Instructure公司周二表示，已与两度入侵其系统、窃取大量师生数据并扰乱数千所依赖该公司软件的学校的黑客“达成协议”。以牟利为目的的网络犯罪组织ShinyHunters声称对4月29日的数据泄露事件负责，称其窃取了总计2.75亿人的师生数据，包括个人信息。黑客表示他们攻破了Canvas系统——目前有近9000所学校使用该系统管理学生数据和课程作业。

上周，黑客第二次入侵该公司，篡改了学校网站上的Canvas登录页面，以此施压要求公司支付赎金。Instructure周一晚间在其事件通报页面上表示，作为协议的一部分，黑客已提供证据证明被盗数据已被销毁，且Canvas客户不会受到勒索。该公司承认，与网络犯罪分子谈判“永远无法完全确定”，但指出客户无需与黑客进行接触。

协议的财务条款未予披露，Instructure也未说明向黑客支付了多少钱。Instructure发言人布莱恩·沃特金斯未回应置评请求，周二被联系时也拒绝对该协议相关问题作出回答。在TechCrunch看到的ShinyHunters泄露网站上，该组织曾威胁称，如果Instructure不支付勒索要求，就会公布从Instructure窃取的数据。截至周二，该条目已从ShinyHunters页面删除，表明赎金可能已被支付。ShinyHunters的一位代表告诉TechCrunch：“数据已经删除，不复存在。该公司及其客户不会再次成为我们的攻击目标，也不会再收到我们的付款联系。”

目前尚不清楚Instructure为何向黑客付款。包括美国在内的各国政府长期以来一直敦促网络犯罪的受害者不要向黑客支付赎金，因为这有助于网络犯罪分子从其攻击中获利。安全研究人员认为，受害者不能轻信恶意黑客的话——一些网络犯罪分子被发现尽管声称已删除被盗数据，却仍然保留着这些数据，以便继续勒索受害者。

针对Instructure的黑客攻击与针对PowerSchool的网络攻击如出一辙。PowerSchool在2024年遭遇大规模数据泄露，影响了7000万名学生和教职员工。同样开发校园信息软件的PowerSchool向黑客支付了赎金以换回被盗数据，但其多家客户后来遭到另一个犯罪团伙的勒索，该团伙展示了此前未被销毁的数据泄露信息。

FBI上周在一份声明中表示，它“已注意到”影响美国各地学校和教职机构的系统中断事件。该通知未点名Canvas，但确实提到受害者“不应向网络犯罪分子发送付款或作出回应”。TechCrunch已看到部分从Instructure窃取的数据，其中包括学生姓名、个人电子邮件地址，以及师生之间的往来消息（包含私人和个人信息）。

Instructure在其网站上承认，黑客在不到一年内两次入侵公司系统，但表示这两次入侵是“不同的事件”，涉及不同的系统。Instructure表示仍在调查此次数据泄露事件并核实其发现结果。目前尚不清楚，如果不是公司首席执行官史蒂夫·戴利，Instructure内部由谁负责或主管网络安全。当TechCrunch联系Instructure时，该公司不愿透露戴利是否计划因数据泄露事件而辞职。