Образовательная платформа Canvas попала под новую атаку: злоумышленники подменили страницы входа примерно у 330 колледжей и университетов. По данным BleepingComputer, за атакой стоит группировка ShinyHunters, которая требует выкуп и угрожает публикацией данных студентов и сотрудников.

Инцидент важен не только для зарубежных вузов. Он показывает, как уязвимость в крупной облачной платформе может ударить сразу по сотням организаций, а обычная страница входа — стать инструментом давления и кражи учётных данных.

Что произошло с Canvas

Canvas — система управления обучением, которую школы, колледжи и университеты используют для курсов, заданий, оценок и переписки между преподавателями и учащимися. Платформой управляет компания Instructure.

По данным BleepingComputer, злоумышленники использовали уязвимость в системах Instructure и устроили дефейс (от англ. defacement — подмена внешнего вида страницы). Вместо стандартной формы входа пользователи видели сообщение от ShinyHunters с угрозой опубликовать украденные данные, если пострадавшие организации не заплатят выкуп.

Подмена продержалась около 30 минут, затем страницы сняли с публикации. Сообщение появлялось не только в веб-версии, но и в приложении Canvas. После атаки Instructure временно отключила Canvas, пока специалисты разбирались с инцидентом.

Какие данные оказались под угрозой

За неделю до подмены страниц Instructure сообщила, что расследует кибератаку. Тогда злоумышленники заявили о краже 280 млн записей, связанных с 8 809 школами, университетами и образовательными платформами, которые используют Canvas.

Сама Instructure подтвердила факт кражи данных, но продолжила расследование и не раскрыла полный состав утечки. ShinyHunters утверждают, что получили пользовательские записи, личные сообщения, сведения о зачислении и другую информацию через функции экспорта данных Canvas и интерфейсы API.

Для студентов и сотрудников такие сведения опасны не только сами по себе. Их можно использовать для точечного фишинга (от англ. phishing — выуживание): писем от имени деканата, поддельных уведомлений о стипендиях, пересдачах, доступе к курсам или задолженностях. Чем больше деталей знает атакующий, тем убедительнее выглядит обман.

Почему подмена страницы входа так опасна

Страница входа — одна из самых доверенных точек в любой цифровой системе. Пользователь привык вводить там логин, пароль и код подтверждения, не вглядываясь в детали интерфейса. Если атакующий меняет такую страницу, он получает шанс перехватить не только внимание аудитории, но и её привычки.

В описанном случае публично говорится о вымогательском сообщении, а не о массовом сборе паролей через подменённую форму. Но сам факт изменения портала входа показывает более широкий риск: уязвимость в центральной платформе может повлиять на сотни организаций одновременно.

Особенно уязвимы системы, где один аккаунт открывает путь к нескольким сервисам: почте, облачному хранилищу, журналу оценок, корпоративному чату. Такой подход называют единым входом (SSO, от англ. single sign-on). Если преступники получают контроль над SSO-аккаунтом, ущерб быстро выходит за пределы одной платформы.

Кто такие ShinyHunters

Название ShinyHunters связывают с атаками на данные с 2018 года. По сведениям BleepingComputer, в 2026 году под этим именем действуют одни из самых активных групп, которые крадут сведения у компаний и затем требуют выкуп.

Их интересуют облачные SaaS-сервисы (от англ. Software as a Service — программное обеспечение как услуга), интеграторы и цепочки подрядчиков. Частый сценарий — кража токенов аутентификации у сторонней компании, после чего атакующие заходят в подключённые корпоративные сервисы клиентов.

Ещё один метод — вишинг (от англ. vishing — голосовой фишинг). Преступники звонят сотрудникам, представляются ИТ-поддержкой и убеждают ввести пароль или код многофакторной аутентификации (MFA, от англ. multi-factor authentication) на поддельной странице. Затем они захватывают рабочие аккаунты и выгружают данные из облачных систем.

С именем ShinyHunters связывали и задержания подозреваемых по другим делам, включая атаки на облачные хранилища и хакерские форумы. Но письма с подписью «We are ShinyHunters» компании продолжают получать.

Что это значит для российских пользователей

Даже если конкретная атака затронула зарубежные учебные заведения, её логика знакома любой организации: школа, вуз, онлайн-курс или работодатель доверяет облачной платформе, а пользователи доверяют странице входа. Достаточно одной слабой точки — и риск распространяется на тысячи людей.

Российским читателям стоит смотреть на этот случай шире. Личные кабинеты в образовательных сервисах хранят не только оценки и расписание. Там могут быть телефоны, адреса электронной почты, документы, переписка, сведения о родителях, платежах и академической истории.

Похожий урок виден и в других инцидентах с цифровыми сервисами: уязвимость может раскрыть неочевидные секреты, от ключей API до переписок. Мы разбирали это на примере материала «Уязвимость Ollama грозит утечкой ключей API и переписок». А при смене устройств или платформ риск часто растёт из-за спешки и невнимательности — об этом SAFENET21 писал в статье «Продажи Xiaomi 17 Ultra напомнили о рисках миграции данных».

Что сделать сейчас

  • Проверьте, где вы используете учебный или рабочий пароль повторно. Если такой пароль стоит ещё где-то, смените его везде.
  • Включите многофакторную аутентификацию для почты, учебного кабинета и рабочих сервисов, если администратор даёт такую опцию.
  • Не вводите код подтверждения после звонка «из поддержки». Настоящий ИТ-специалист не должен просить одноразовый код.
  • Открывайте учебные порталы через сохранённые закладки или официальный сайт организации, а не по ссылкам из писем и чатов.
  • Если страница входа выглядит непривычно, сделайте паузу: проверьте адрес, спросите администратора, не отправляйте пароль «на всякий случай».
  • Для работы из кафе, гостиниц и кампусных сетей используйте сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных в публичной сети.
  • Если учебное заведение сообщило об утечке, смените пароль, проверьте почту на подозрительные письма и следите за уведомлениями от администрации.
Поделиться: