本周，美国教育技术服务商 Instructure 宣布，其学习管理系统 Canvas 遭遇严重网络安全事件。Canvas 被全球大量学校和大学采用，其中包括澳大利亚的多家机构。

据称，此次攻击由网络犯罪组织 ShinyHunters 发起。该组织在周四声称再次入侵 Instructure。已有信息显示，约 9,000 所教育机构受到波及，涉及约 2.75 亿名学生、教师和工作人员的数据。

此次入侵导致部分学校的登录页面被篡改。在澳大利亚，墨尔本大学等高校的学生一度因全球性系统故障无法提交作业。昆士兰政府的“早期通报”指出，自 2020 年以来在公立学校就读或任教的学生和教职员工都可能受到影响。

Instructure 确认，遭到暴露的数据可能包括姓名、电子邮件地址、学生编号以及用户之间互发的私人消息。

在线学习普及，学生信息也全面上云

Canvas 在澳大利亚教育体系中应用广泛，是众多数字化“学习管理系统”（LMS）之一，用于支持教学、作业与考试管理、沟通交流以及学生支持服务。

其他常见的 LMS 还包括 Moodle 和 Blackboard，它们帮助学校和大学管理课程内容、评估流程、出勤记录、学习数据分析（如学生参与度）以及学生信息管理等。

随着在线教学和“混合式学习”（线上线下结合）的迅速发展，这类系统在中小学和高校中被大规模部署。

许多机构已不再完全自建和维护本地基础设施，而是通过云端模式运行这些平台。学生和教职员工可以通过网页浏览器、桌面客户端或移动应用随时访问系统。

这意味着教育机构如今以数字形式集中存储了大量敏感数据。

这些系统带来了更高的灵活性和可访问性，但同时也构成高度互联的数字环境，成为网络犯罪分子的重点攻击目标。

风险正在发生结构性变化

Canvas 事件并非孤立个案。2025 年，有报告指出，针对学校和大学的勒索软件攻击较前一年增长了 23%。

与此同时，攻击模式也在发生变化。

过去，数据泄露多通过勒索软件或单个机构内部系统被攻破而发生，影响范围通常局限于某一所大学或学校。

相比之下，这次涉及 Canvas 以及此前另一个平台 PowerSchool 的事件，凸显出日益突出的“平台集中风险”。也就是说，当大量机构依赖同一云服务或平台时，一次网络事件就可能迅速波及数千家机构和数以百万计的学生。

这种集中风险并不限于教育领域，凡是高度依赖互联网服务的行业都可能面临类似问题。

另一个令人担忧的趋势，是被泄露信息的敏感程度不断提高。近期事件中，据称包括学生、教师和工作人员之间的私人通信内容。这不仅是隐私和信息安全问题，还牵涉到心理健康、校园信任氛围以及机构公信力等更广泛的议题。

如何更好保护学生数据？

Canvas 事件暴露出教育系统对大型云服务和教育技术平台的高度依赖。

当这类被广泛采用的系统发生网络安全事件时，影响会迅速扩散到成千上万家机构和数以百万计的学生。因此，学校和大学需要对供应商提出更严格的要求，并在合同和治理层面明确学生数据的存储位置、共享方式以及安全保护责任。

机构本身也应强化访问控制措施，包括：

• 启用多因素认证（MFA）
• 更严格的身份与权限管理
• 对敏感数据进行加密
• 采用“零信任”安全策略，对每一次访问请求持续进行验证

涉及学生身心健康、心理咨询、残障支持等高度敏感的信息，应设置更高等级的保护措施，并严格限制访问权限。

同时，教育社区整体的网络安全意识也必须提升。数据泄露发生后，学生、家长和教师往往会成为钓鱼邮件、社交工程和冒充诈骗的重点目标。

政府层面则有必要考虑，为教育技术服务商制定更统一、更严格的网络韧性和安全标准，以降低系统性风险。

当前，这类数据泄露事件已经不再只是技术问题，它们正在影响更广泛人群的隐私、安全感、对机构的信任以及心理健康状况。

本文内容根据 The Conversation 文章在知识共享许可协议下改写整理。