教育软件 Canvas 母公司 Instructure 表示，已就近期数据泄露事件与黑客达成协议。公司称，对方已提供被盗数据被删除的证据，Canvas 客户也不会再被要求单独与黑客交涉或支付赎金。

黑客称窃取2.75亿人数据

据 TechCrunch 报道，名为 ShinyHunters 的网络犯罪团伙认领了 4 月 29 日的入侵事件，并称从 Canvas 相关系统中窃取了学生和教职员工数据，涉及约 2.75 亿人。Canvas 被近 9000 所学校用于管理学生资料和课程。

该团伙上周又发起第二次攻击，篡改部分学校网站上的 Canvas 登录页面，以向公司施压，要求其支付赎金。

公司未披露是否支付赎金

Instructure 在周一晚间更新的事件页面中称，虽然与网络犯罪分子谈判“从来不存在完全确定性”，但公司认为客户不必再与黑客接触。公司没有披露协议的财务条款，也未说明是否实际支付赎金。

TechCrunch 称，ShinyHunters 此前曾在其泄密网站上威胁，如果公司不付款，就公开所窃取的数据。截至周二，这一条目已被删除。该团伙还向媒体表示，数据“已经删除”，不会再就付款问题联系公司及其客户。

类似案例曾出现二次勒索

报道指出，Instructure 这次事件与 PowerSchool 在 2024 年遭遇的大规模数据泄露有相似之处。后者当时也向黑客付款以换取数据返还，但之后仍有客户遭到另一犯罪团伙勒索，显示被宣称“已删除”的数据未必真正消失。

美国联邦调查局上周也表示，已注意到影响全美学校和教育机构的系统中断事件，并提醒受害方不要向网络犯罪分子付款，也不要回应其勒索要求。

目前，Instructure 仍在调查此次事件，并核实相关发现。公司同时承认，在不到一年时间里，其系统已两次遭黑客入侵，但称两起事件彼此独立，涉及不同系统。