Компания Instructure, владелец образовательной платформы Canvas, заявила о соглашении с группой вымогателей ShinyHunters после кражи данных. Инцидент касается школ, университетов, преподавателей и студентов, которые используют Canvas для курсов, оценок и учебных материалов.
Instructure утверждает, что злоумышленники вернули украденные данные и передали журналы удаления. Но эксперты и правоохранители годами предупреждают: договорённость с вымогателями не доказывает, что копии не ушли дальше.
Что сказала Instructure
Canvas — одна из крупных систем управления обучением. По данным Instructure, платформой пользуются более 30 млн студентов и преподавателей в более чем восьми тысячах школ и университетов по всему миру.
После атаки компания сообщила, что договорилась с «неавторизованным участником» инцидента. В заявлении Instructure пишет, что клиенты не должны отдельно связываться с группой и что вымогатели якобы не будут давить на пострадавшие организации — ни публично, ни напрямую.
Формулировки компании оставляют важные вопросы без ответа. Instructure не раскрыла условия соглашения и не объяснила, проверяла ли она, что у группы не осталось копий. Компания обещает рассказать больше на вебинаре для клиентов 13 мая.
ShinyHunters заявляла, что похитила более 3,6 ТБ несжатых данных. Instructure ранее подтвердила сам факт кражи, но не раскрыла полный перечень сведений, которые могли попасть к атакующим.
Как злоумышленники попали в Canvas
По данным BleepingComputer, группа использовала проблему безопасности в среде Free-for-Teacher — бесплатной ограниченной версии Canvas для отдельных преподавателей. После первой атаки Instructure временно отключила такие аккаунты и начала исправлять уязвимости.
Позже, 7 мая, злоумышленники снова взломали Instructure через ту же брешь. Они изменили страницы входа Canvas и разместили сообщение с требованием начать переговоры до 12 мая.
Издание пишет, что атакующие задействовали несколько XSS-уязвимостей. XSS, или cross-site scripting — межсайтовый скриптинг, позволяет внедрить вредоносный JavaScript в страницы, где пользователь ожидает увидеть обычный контент.
В этом случае вредоносный код попал в функции с пользовательским контентом. Через него группа смогла получить администраторские сессии и выполнить действия с повышенными правами. Для учебной платформы это особенно опасно: один заражённый элемент может появиться на странице, которую открывают сотни или тысячи пользователей.
Почему соглашение не закрывает проблему
Главный риск после такой атаки — не только публикация архива в сети. Украденные сведения могут разойтись по закрытым криминальным каналам, попасть к другим группам или всплыть через месяцы в новых атаках.
ФБР не раз предупреждало: выплата денег или иная договорённость с вымогателями не гарантирует, что преступники удалят данные и откажутся от повторного шантажа. Журналы удаления тоже не дают полной уверенности. Они показывают действие в конкретной системе, но не доказывают отсутствие копий на других серверах или у сообщников.
Для школ и вузов это значит одно: даже если публичной утечки не случится, инцидент нужно считать реальным компромиссом. Администраторам стоит проверять журналы входов, изменения прав, новые интеграции и подозрительную активность в курсах.
Похожая логика работает и в других инцидентах: когда сервис хранит ключи, переписки или учебные данные, одна уязвимость может открыть путь к большой цепочке последствий. Мы разбирали это на примере материала про уязвимость Ollama и риск утечки ключей API.
Чем это важно для школ, вузов и семей
Образовательные платформы хранят не только логины и адреса электронной почты. В них часто есть фамилии, учебные группы, оценки, задания, комментарии преподавателей, прикреплённые файлы, расписание, иногда — данные родителей или опекунов.
Такая информация помогает мошенникам делать убедительные письма. Например, письмо о «срочной пересдаче», «доступе к курсу» или «ошибке в оплате обучения» выглядит правдоподобно, если в нём есть имя преподавателя, название предмета и реальная группа.
Студенты и преподаватели часто входят в учебные системы из общественных сетей — в кампусе, кафе, библиотеке, транспорте. Для таких сценариев уместен сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных при работе в публичных сетях.
Отдельный риск — повторное использование паролей. Если пароль от Canvas совпадает с почтой, мессенджером или личным кабинетом банка, последствия утечки выходят далеко за пределы учебной платформы.
Что делать прямо сейчас
- Смените пароль от Canvas и связанных учебных сервисов, если ваша школа или вуз использует платформу.
- Не используйте тот же пароль в почте, облачном хранилище, мессенджерах и финансовых сервисах.
- Включите двухфакторную защиту там, где она доступна: особенно для почты и учётной записи администратора курса.
- Проверьте последние входы в аккаунт, новые устройства, изменения профиля и неожиданные уведомления.
- Администраторам стоит пересмотреть права пользователей, токены интеграций, плагины и внешние подключения к Canvas.
- Не открывайте ссылки из писем о «срочной проверке аккаунта» или «возврате доступа», если письмо пришло не из официального канала вашей организации.
- Если получили подозрительное сообщение с учебными деталями, проверьте его через деканат, преподавателя или ИТ-службу, а не через ссылку из письма.
- Храните резервные копии важных учебных материалов вне основной платформы. История с ботнетом xlabs_v1 и открытым ADB напоминает: слабая настройка доступа быстро превращается в массовую проблему.
- Руководителям учебных организаций стоит подготовить короткое уведомление для студентов и преподавателей: что произошло, какие данные могли затронуть, куда обращаться при подозрительных письмах.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.