Образовательная платформа Canvas временно остановила работу после атаки группы ShinyHunters. Пользователи вместо привычной страницы входа увидели требование выкупа, а занятия и сдача работ в ряде школ и университетов США сорвались в разгар экзаменов.
По данным KrebsOnSecurity, вымогатели угрожали опубликовать данные 275 млн студентов и преподавателей из примерно 9000 учебных организаций. Владелец Canvas, компания Instructure, признал утечку, но заявил, что не видит признаков кражи паролей, финансовых данных и государственных идентификаторов.
Что случилось с Canvas
Canvas используют школы, колледжи, университеты и компании для учебных курсов, заданий и общения между преподавателями и студентами. 7 мая пользователи начали массово сообщать в соцсетях, что страница входа в сервис изменилась: вместо формы авторизации там появилось сообщение вымогателей.
Instructure отключила платформу и заменила портал сообщением о «плановых технических работах». Такой выбор формулировки вызвал критику экспертов: для студентов и преподавателей это выглядело как обычный простой, хотя речь шла о последствиях кибератаки.
Компания ранее, 6 мая, уже сообщала об инциденте и писала, что расследование продолжается. Тогда Instructure заявила, что атака сдержана и Canvas работает штатно. Но через сутки злоумышленники снова показали, что доступ к части среды или странице входа не закрыт полностью.
Какие данные могли попасть к злоумышленникам
Instructure сообщила, что украденные сведения включают имена, адреса электронной почты, студенческие идентификаторы и сообщения между пользователями. Компания отдельно указала, что пока не нашла доказательств кражи паролей, дат рождения, государственных документов или платёжной информации.
Это не делает инцидент безопасным. Даже имя, почта, номер студента и контекст переписки помогают атакующим строить убедительные письма: например, от имени деканата, учебного отдела или службы поддержки платформы. Такие данные ценны для фишинга (от англ. phishing — выуживание), когда жертву подталкивают открыть ссылку, отправить пароль или подтвердить вход.
Сама группа ShinyHunters заявляла о более крупном наборе данных, включая миллиарды личных сообщений, телефоны и адреса почты. Эти заявления требуют проверки: преступные группы часто завышают масштаб утечки, чтобы давить на компанию и её клиентов.
Похожая логика риска видна и в других сервисах: проблема не всегда в самом пароле, иногда опасность создаёт доступ к внутренним сообщениям, токенам или служебным данным. Мы разбирали такой сценарий в материале про уязвимость Ollama и риск утечки ключей API.
Почему сбой ударил по университетам особенно болезненно
Атака пришлась на экзаменационный период. Для университетов это время, когда платформы дистанционного обучения работают с максимальной нагрузкой: студенты загружают финальные работы, преподаватели выставляют оценки, кафедры закрывают курсы.
Даже несколько часов простоя в такой момент создают цепную реакцию. Срываются дедлайны, растёт число обращений в поддержку, преподаватели вынуждены переносить задания в почту или другие каналы. Чем больше ручных обходных процессов внутри учебной организации, тем выше риск новой ошибки с данными.
Для Instructure удар тоже серьёзный. Canvas продаётся не отдельным пользователям, а организациям: школам, университетам, округам и образовательным ведомствам. Если заказчики решат, что подрядчик скрывал масштаб проблемы или поздно сообщил детали, вопрос быстро перейдёт из технического в контрактный и юридический.
Как действовали вымогатели
ShinyHunters специализируется на краже данных и вымогательстве. По сообщениям отраслевых изданий, группа часто получает доступ через социальную инженерию и вишинг (от англ. vishing — голосовой фишинг), когда мошенники по телефону выдают себя за ИТ-сотрудников или доверенных коллег.
В истории Canvas злоумышленники не просто заявили о краже базы. Они испортили страницу входа и обратились напрямую к учебным организациям, предлагая каждой вести отдельные переговоры, даже если Instructure сама решит вопрос с группой. Такой ход увеличивает давление: вместо одного пострадавшего в центре скандала оказываются сотни клиентов.
После инцидента Instructure обновила страницу с информацией и сообщила, что портал Canvas снова работает нормально. Компания связала проблему с Free-for-Teacher — бесплатными аккаунтами для преподавателей — и временно отключила такие учётные записи. Пострадавшие организации, по словам Instructure, получили уведомления 6 мая.
Чему это учит школы и подрядчиков
Главный урок — учебная платформа хранит не «второстепенные» сведения, а рабочую карту жизни студента. Курсы, переписка, оценки, дедлайны и внутренние идентификаторы помогают мошенникам подобрать момент и тон атаки.
Второй урок — статус-страница должна говорить честно. Если сервис пишет о технических работах, когда расследует взлом, пользователи теряют время и могут пойти за информацией в случайные каналы. Там их уже ждут поддельные инструкции, фальшивые формы входа и письма от имени поддержки.
Третий урок касается интеграций и бесплатных аккаунтов. Чем больше типов доступа у платформы, тем сложнее контролировать границы. Это знакомая проблема для любых цифровых сервисов, от учебных систем до ИИ-инструментов и торговых платформ; о том, какие данные видит сторонний алгоритм, мы писали в разборе про Qwen в шопинге Alibaba.
Что сделать сейчас
- Если ваша школа или вуз использует Canvas, ориентируйтесь только на письма от официальных контактов организации и Instructure. Не доверяйте спискам пострадавших из соцсетей.
- Смените пароль, если он повторялся в других сервисах. Для уникального пароля риск ниже, но повторное использование превращает одну утечку в несколько взломов.
- Включите многофакторную проверку входа там, где она доступна. Лучше использовать приложение для кодов или аппаратный ключ, а не только SMS.
- Относитесь к письмам про «срочную проверку аккаунта», «возврат доступа» и «утечку вашей переписки» как к потенциальному фишингу. Открывайте сайт вручную через сохранённый адрес, а не через ссылку из письма.
- Не отправляйте студенческий номер, пароль, код входа или скриншоты личного кабинета в мессенджерах. Настоящей поддержке такие данные обычно не нужны.
- При работе из кафе, библиотеки или кампусной сети используйте сервис безопасного интернет-соединения, который помогает защитить трафик и приватность данных в публичных сетях.
- Учебным организациям стоит проверить сторонние интеграции Canvas, лишние токены доступа, бесплатные аккаунты и журналы входа за последние недели.
- Подготовьте понятное уведомление для студентов и преподавателей: какие данные затронуты, чего точно не нашли в утечке и куда обращаться за помощью.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.