- Автор темы
- #1
На прошлой неделе хакеры взломали компанию Instructure, разрабатывающую образовательную платформу Canvas, подменили страницы входа и потребовали выкуп. Из-за массового сбоя образовательные учреждения переносили экзамены, а студенты по всему миру лишились доступа к заданиям и материалам.
Масштабный сбой образовательной платформы Canvas, которой пользуются школы, колледжи и университеты, затронул учреждения в США и других странах. Причиной стала атака вымогательской группировки ShinyHunters, в ходе которой злоумышленники не только похитили данные, но и подменили страницы входа в систему сообщениями с требованием выкупа.
Как сообщили представители компании Instructure, атакующие получили доступ к инфраструктуре еще в конце апреля 2026 года. Позднее в компании подтвердили, что в ходе этого инцидента были похищены данные пользователей: имена, email-адреса, названия курсов, информация о зачислении и сообщения внутри платформы.
Согласно заявлениям самих хакеров, речь идет о краже примерно 275 млн записей, связанных с 8809 образовательными организациями.
По сути, атака состояла из двух этапов. Сначала злоумышленники скомпрометировали инфраструктуру Instructure и похитили данные пользователей, а затем, 7 мая 2026 года, повторно проникли в Canvas и подменили страницы входа сообщениями с требованием выкупа. От второй фазы атаки и подмены страниц авторизации пострадали примерно 330 учебных заведений.
Сообщение хакеров содержало ультиматум: злоумышленники дали представителям Instructure и пострадавшим учебным заведениям срок до 12 мая для переговоров о выкупе. Одновременно с этим Canvas начал уходить в офлайн.
Хуже того, сбой пришелся на период итоговых экзаменов. В результате Университет Иллинойса перенес финальные экзамены, Массачусетский университет в Дартмуте сдвинул сроки сдачи работ, и Техасский университет в Сан-Антонио отложил экзамены. Преподавателям пришлось экстренно искать обходные пути для приема заданий и выставления оценок.
Как позже пояснили в Instructure, атакующие воспользовались XSS-уязвимостью во Free-for-Teacher — бесплатной версии Canvas для отдельных преподавателей. Через внедрение вредоносного JavaScript хакеры сумели перехватить административные сессии и выполнять привилегированные действия. После этого компания временно отключила Free-for-Teacher и перевела Canvas в режим обслуживания.
В Instructure утверждают, что дефейс страниц входа не привел к новой утечке данных, однако информация, похищенная во время первоначального взлома, уже включала пользовательские записи, переписки и так далее. Участники ShinyHunters заявляли, что в общей сложности выгрузили из систем компании более 3,6 Тбайт данных.
В итоге на этой неделе компания пошла на сделку с вымогателями. В Instructure сообщили, что достигли соглашения с атакующими, после чего те якобы удалили украденные данные и предоставили логи уничтожения файлов. Кроме того, представители компании заверили, что отдельным школам и университетам не придется вести переговоры с преступниками самостоятельно.
Хакеры из ShinyHunters действительно удалили запись о взломе Instructure со своего сайта, что обычно происходит после выплаты выкупа. Однако сумма выкупа не раскрывается, а ИБ-эксперты напоминают, что даже после оплаты нет никаких гарантий, что украденные данные не появятся в сети позже или не будут перепроданы другим преступникам.
Масштабный сбой образовательной платформы Canvas, которой пользуются школы, колледжи и университеты, затронул учреждения в США и других странах. Причиной стала атака вымогательской группировки ShinyHunters, в ходе которой злоумышленники не только похитили данные, но и подменили страницы входа в систему сообщениями с требованием выкупа.
Как сообщили представители компании Instructure, атакующие получили доступ к инфраструктуре еще в конце апреля 2026 года. Позднее в компании подтвердили, что в ходе этого инцидента были похищены данные пользователей: имена, email-адреса, названия курсов, информация о зачислении и сообщения внутри платформы.
Согласно заявлениям самих хакеров, речь идет о краже примерно 275 млн записей, связанных с 8809 образовательными организациями.
По сути, атака состояла из двух этапов. Сначала злоумышленники скомпрометировали инфраструктуру Instructure и похитили данные пользователей, а затем, 7 мая 2026 года, повторно проникли в Canvas и подменили страницы входа сообщениями с требованием выкупа. От второй фазы атаки и подмены страниц авторизации пострадали примерно 330 учебных заведений.
Сообщение хакеров содержало ультиматум: злоумышленники дали представителям Instructure и пострадавшим учебным заведениям срок до 12 мая для переговоров о выкупе. Одновременно с этим Canvas начал уходить в офлайн.
Хуже того, сбой пришелся на период итоговых экзаменов. В результате Университет Иллинойса перенес финальные экзамены, Массачусетский университет в Дартмуте сдвинул сроки сдачи работ, и Техасский университет в Сан-Антонио отложил экзамены. Преподавателям пришлось экстренно искать обходные пути для приема заданий и выставления оценок.
Как позже пояснили в Instructure, атакующие воспользовались XSS-уязвимостью во Free-for-Teacher — бесплатной версии Canvas для отдельных преподавателей. Через внедрение вредоносного JavaScript хакеры сумели перехватить административные сессии и выполнять привилегированные действия. После этого компания временно отключила Free-for-Teacher и перевела Canvas в режим обслуживания.
В Instructure утверждают, что дефейс страниц входа не привел к новой утечке данных, однако информация, похищенная во время первоначального взлома, уже включала пользовательские записи, переписки и так далее. Участники ShinyHunters заявляли, что в общей сложности выгрузили из систем компании более 3,6 Тбайт данных.
В итоге на этой неделе компания пошла на сделку с вымогателями. В Instructure сообщили, что достигли соглашения с атакующими, после чего те якобы удалили украденные данные и предоставили логи уничтожения файлов. Кроме того, представители компании заверили, что отдельным школам и университетам не придется вести переговоры с преступниками самостоятельно.
Хакеры из ShinyHunters действительно удалили запись о взломе Instructure со своего сайта, что обычно происходит после выплаты выкупа. Однако сумма выкупа не раскрывается, а ИБ-эксперты напоминают, что даже после оплаты нет никаких гарантий, что украденные данные не появятся в сети позже или не будут перепроданы другим преступникам.