调查背景

美国众议院议员正要求教育软件制造商Instructure就其Canvas平台遭遇的两次黑客攻击事件作出解释，这些攻击导致全球数百万学生的个人数据被盗。众议院国土安全委员会已介入调查，该委员会负责监督与国土安全相关的政府活动。委员会主席安德鲁·加巴里诺（Andrew Garbarino）在致Instructure首席执行官史蒂夫·达利（Steve Daly）的信中，明确要求公司代表就事件作出说明。美国网络安全和基础设施安全局（CISA）已被召来协助处理此事件。

调查焦点

立法者希望达利出庭作证，以回答一系列关键问题。加巴里诺在信中提到，调查将聚焦于黑客如何反复突破Instructure系统，以及泄露的数据类型。此外，议员们还要求了解公司如何应对攻击、如何通知受影响的学校，并审查其与CISA的协调是否充分。

具体调查方向：

• 黑客入侵系统的具体方法和漏洞利用情况
• 被盗数据的种类和规模
• 公司采取的应对措施及通知机制
• 与CISA的协作效率评估

公司回应与批评

Instructure因其在攻击事件中的应对措施受到批评，特别是在黑客利用相同漏洞多次窃取敏感学生数据并篡改学校登录页面后。本周，公司确认已与黑客“达成协议”，并声称黑客提供了删除数据的证据。然而，ShinyHunters黑客组织的一名代表告诉媒体，他们不会继续敲诈公司或其客户，但拒绝透露公司支付的赎金金额。

安全专家观点

安全专家长期以来警告，支付赎金只会助长未来的攻击。黑客在声称删除数据后，往往仍保留副本以再次敲诈受害者。这一行为加剧了对Instructure处理能力的担忧。

立法者质疑

加巴里诺指出，黑客的第二次攻击引发了“关于公司事件响应能力和对持有数据机构及个人义务的严重质疑”。他在信中强调：“Instructure泄露事件的规模和时机，以及一家主要教育技术供应商在初次入侵后无法遏制威胁行为者的能力，正是本委员会有责任审查的系统性漏洞。”

Instructure尚未就作证请求作出回应，也未说明达利或公司网络安全负责人是否会出席听证会。公司发言人布莱恩·沃特金斯（Brian Watkins）周三未回应媒体请求。

关注微信号：智享开源 ，可及时获取信息

原文链接：https://techcrunch.com/2026/05/13/us-lawmakers-demand-answers-from-instructure-after-canvas-data-breaches/