Instructure подтвердила, что хакеры использовали уязвимость в Canvas и изменяли страницы входа в учебные порталы. Инцидент касается школ, вузов и преподавателей, которые работают с платформой для заданий, курсов и сообщений.

По данным BleepingComputer, атака связана с несколькими XSS-ошибками и попыткой вымогательства после более раннего взлома. Для пользователей главный риск — не сама подмена страницы входа, а возможная утечка учётных записей, адресов почты, данных о курсах и переписки.

Что случилось с Canvas

Canvas — платформа класса learning management system (LMS, система управления обучением). Её используют учебные заведения в разных странах: через неё студенты получают задания, сдают работы, общаются с преподавателями и следят за курсами.

Instructure сообщила, что 29 апреля обнаружила проникновение в свою сеть. Компания отозвала доступ у посторонней стороны, начала расследование и привлекла внешних специалистов по цифровой криминалистике.

Через несколько дней Instructure подтвердила кражу данных. Группировка ShinyHunters заявила, что получила более 3,6 ТБ несжатой информации. Эти цифры исходят от злоумышленников, поэтому к ним стоит относиться как к заявлению атакующей стороны, а не как к независимой оценке.

Как сработала XSS-уязвимость

BleepingComputer пишет, что в атаке использовали несколько ошибок типа cross-site scripting (XSS, межсайтовый скриптинг). Такой дефект позволяет внедрить вредоносный JavaScript в страницу, которую затем открывает другой пользователь.

В случае Canvas хакеры, по данным издания, встроили код в функции с пользовательским контентом. Это помогло им получить сессии администраторов, уже прошедших вход, и выполнять действия с повышенными правами.

7 мая злоумышленники снова использовали ту же проблему. На этот раз они изменили страницы, которые видели часть студентов и преподавателей после входа в Canvas, и разместили сообщение с требованием связаться с ними до 12 мая для переговоров о выкупе.

Instructure подтвердила: «Злоумышленник изменил страницы, которые появлялись, когда некоторые студенты и преподаватели входили через Canvas». Компания временно отключала Canvas, чтобы остановить вредоносную активность, найти причину и добавить защитные меры.

Почему подмена страницы входа опасна

Изменение страницы входа часто воспринимают как косметическую порчу сайта. На практике это тревожный сигнал: если атакующий может менять содержимое портала, он может подсовывать пользователям ссылки, формы, скрипты и ложные уведомления.

В этом эпизоде Instructure заявила, что при подмене страниц Canvas новые данные не украли. Но первый взлом уже привёл к краже информации, и это меняет картину риска для школ и вузов.

По данным источника, похищенные сведения, вероятно, включают имена пользователей, адреса электронной почты, названия курсов, сведения о зачислении и сообщения. ShinyHunters утверждает, что инцидент затронул 8 809 образовательных организаций и 275 млн записей студентов, преподавателей и сотрудников.

Даже без паролей такие наборы опасны. Они помогают готовить точные фишинговые письма: с настоящими названиями курсов, именами преподавателей и понятным для жертвы контекстом.

Что сделала Instructure

Компания заявила, что проблема затронула Free-for-Teacher — бесплатную ограниченную версию Canvas LMS для отдельных преподавателей. Учётные записи Free-for-Teacher отключили до устранения ошибок.

Основной сервис Canvas вернули в работу 9 мая. Instructure также сообщила, что временно выводила платформу из доступа, чтобы не дать атаке распространиться и проверить причины инцидента.

Для учебных организаций это хороший момент пересмотреть доступы администраторов. Ошибки XSS особенно опасны там, где администраторские сессии дают широкие права, а браузер хранит активный вход часами или днями.

Похожая логика риска видна и в других инцидентах с веб-панелями: когда уязвимость в интерфейсе ведёт к краже учётных данных, последствия быстро выходят за пределы одного сайта. Мы разбирали это на примере материала «Уязвимость cPanel уже используют для кражи паролей сайтов».

Чем это грозит студентам и преподавателям

Главная угроза после такой атаки — адресный фишинг (от англ. phishing — выуживание). Письмо может выглядеть как сообщение от учебного отдела, преподавателя или службы поддержки платформы: «обновите доступ», «подтвердите курс», «прочитайте новое уведомление».

Если пользователь применял один пароль для учебного портала, почты и сторонних сервисов, риск растёт. Злоумышленники могут проверять украденные пары логин-пароль на других сайтах, включая страницы входа, которые ищут по запросам вроде «discord login web» или «discord web version».

Отдельная проблема — работа из публичных сетей: кафе, общежитий, библиотек, конференций. Там стоит снижать риск перехвата и подмены трафика; для этого можно использовать сервис безопасного интернет-соединения, особенно если приходится открывать учебные порталы вне домашней сети.

Пользователям также стоит помнить: утечка данных не заканчивается в день новости. Базы могут всплывать через месяцы, а письма мошенников становятся убедительнее, когда в них есть реальные детали учёбы или работы.

Что сделать прямо сейчас

  • Смените пароль от Canvas или другого учебного портала, если он совпадает с паролем от почты, мессенджеров, банковских кабинетов или рабочих сервисов.
  • Включите двухфакторную защиту везде, где платформа или учебная организация её поддерживает.
  • Проверьте письма с просьбами «подтвердить доступ», «срочно войти» или «скачать документ». Не переходите по ссылкам из неожиданных сообщений — откройте портал вручную через сохранённый адрес.
  • Администраторам стоит пересмотреть права учётных записей, срок жизни сессий и список активных интеграций Canvas.
  • Преподавателям лучше предупредить студентов: поддержка не просит пароль в письмах и чатах.
  • Если после входа в учебный портал страница выглядит необычно, появились посторонние баннеры или требования срочно связаться с кем-то, сделайте скриншот, выйдите из аккаунта и сообщите администратору учебного заведения.
Поделиться: