Instructure, владелец образовательной платформы Canvas, сообщила о соглашении с вымогателями после кражи 3,65 ТБ данных. Инцидент затронул почти 9 тыс. организаций, а в похищенной базе, по данным расследования, могло быть около 275 млн записей.
Компания утверждает, что учебные материалы, отправленные работы и пароли не попали к злоумышленникам. Но имена, адреса электронной почты, названия курсов, сведения о зачислении и сообщения дают преступникам достаточно контекста для фишинга (от англ. phishing — выуживание) против студентов, родителей и сотрудников.
Что известно о взломе Canvas
Canvas используют школы, колледжи и университеты для дистанционного обучения: через платформу студенты получают задания, переписываются с преподавателями и следят за курсами. По данным Instructure, злоумышленники получили доступ через нераскрытую уязвимость, связанную с заявками в службу поддержки в среде Free-for-Teacher — бесплатном сегменте для преподавательских аккаунтов.
После первичного взлома компания сочла инцидент локализованным. Затем 7 мая 2026 года она зафиксировала вторую волну активности: на страницах входа Canvas примерно у 330 учреждений появились сообщения вымогателей. Преступники дали Instructure срок до 12 мая 2026 года, угрожая публикацией данных.
Ответственность за атаку связывают с группировкой ShinyHunters. В источниках её описывают как децентрализованную вымогательскую структуру, которая давит на жертв угрозой публикации украденной информации.
Почему компания пошла на соглашение
Instructure заявила, что договорилась с «неавторизованным участником» инцидента из-за риска публикации данных. Компания не раскрыла сумму, но признала: решение связано с выкупом и должно снизить вероятность дальнейшего давления на клиентов.
По словам Instructure, соглашение покрывает всех пострадавших клиентов. Компания также сообщила, что получила украденные данные обратно и цифровое подтверждение их уничтожения. Отдельно Instructure заявила, что её клиентов, по полученной информации, не будут шантажировать по этому инциденту.
Такие заявления не снимают риски полностью. Сами компании обычно подчёркивают: при контакте с киберпреступниками нельзя получить стопроцентную гарантию. Но для школ и вузов важен даже частичный контроль ущерба — особенно когда речь идёт о данных несовершеннолетних, преподавателей и родителей.
Какие данные могли попасть к злоумышленникам
По предварительной информации, в украденных записях были имена пользователей, email-адреса, названия курсов, сведения о зачислении и сообщения. Instructure подчёркивает, что контент курсов, отправленные студентами работы и учётные данные не были скомпрометированы.
На практике отсутствие паролей не делает инцидент безобидным. Если злоумышленник знает, где человек учится, какие курсы проходит и с кем переписывается, он может написать очень убедительное письмо от имени преподавателя, деканата, техподдержки или отдела финансовой помощи.
Похожий урок виден и в других инцидентах: опасны не только пароли, но и контекст вокруг человека. Мы уже разбирали, как уязвимость Ollama грозила утечкой ключей API и переписок: иногда одной служебной детали хватает, чтобы атакующий выстроил цепочку обмана.
Главный риск — адресный фишинг
Эксперты Halcyon предупреждают: похищенные записи дают преступникам личный контекст для точечных кампаний против сотрудников, студентов и родителей. Письмо может выглядеть как обычное уведомление от школы: «подтвердите доступ к курсу», «проверьте оплату», «обновите контактные данные», «откройте новое задание».
Особенно опасны ссылки на страницы входа. Пользователь видит знакомое название курса, имя преподавателя или домен, похожий на учебный, и вводит пароль почти автоматически. Та же логика работает вне учебной среды: запросы вроде «discord web вход» или «discord login web» часто приводят людей к страницам, где они теряют бдительность и не проверяют адрес.
Если студент параллельно ищет «discord web version», общается в учебных чатах и получает письмо «от техподдержки», риск растёт: мошенники смешивают привычные сервисы, учёбу и срочность. Поэтому проверка адреса сайта и отправителя важнее красивого оформления письма.
Фишинг не всегда приходит в почту. Ссылки могут отправить в мессенджерах, учебных чатах или через поддельные уведомления. В похожих атаках преступники уже использовали фальшивые проверки, поэтому полезно помнить историю про то, как фальшивая CAPTCHA заражала компьютеры стилером Vidar.
Что делают Instructure и учебные организации
Instructure временно отключила аккаунты Free-for-Teacher. Компания также отозвала привилегированные учётные данные и токены доступа — цифровые ключи, с помощью которых сервисы обращаются друг к другу, — сменила внутренние ключи и ограничила пути создания новых токенов.
Кроме того, Instructure привлекла профильных подрядчиков для цифровой криминалистики, пересмотра настроек безопасности и анализа затронутых данных. Учебным организациям теперь нужно быстро понять, какие пользователи попали в зону риска, и предупредить их без расплывчатых формулировок.
Лучшее письмо от вуза или школы в такой ситуации короткое и конкретное: что случилось, какие данные могли попасть к посторонним, какие письма считать подозрительными, куда переслать сомнительное сообщение. Для работы из кафе, кампуса или аэропорта также уместен сервис безопасного интернет-соединения, который помогает защитить трафик и приватность данных в публичных сетях.
Что проверить студентам, родителям и сотрудникам
- Не переходите по ссылкам из писем о «срочном подтверждении» доступа к курсу, оплате или стипендии. Откройте сайт учебной платформы вручную через закладку или официальный сайт организации.
- Проверьте адрес отправителя. Ошибки в домене, лишние символы и непривычные почтовые сервисы — повод остановиться.
- Смените пароль, если вводили его после перехода по ссылке из письма или чата. Не используйте тот же пароль в почте, мессенджерах и учебных сервисах.
- Включите двухфакторную защиту там, где она доступна. Лучше использовать приложение с одноразовыми кодами или аппаратный ключ, а не только SMS.
- Сообщите в ИТ-службу школы или вуза о подозрительном письме. Не пересылайте его друзьям «для проверки» — так ссылка может разойтись дальше.
- Родителям стоит предупредить детей: сообщения про оценки, курсы и оплату могут быть поддельными, даже если в них есть реальные имена преподавателей.
- Администрациям учебных заведений стоит выпустить отдельное предупреждение о фишинге, проверить журналы входа и подготовить понятный канал для сообщений об инцидентах.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.