Освітня платформа Canvas підтвердила, що зазнала зламу: 275 мільйонів записів із персональними даними користувачів можуть бути скомпрометовані

Відомий освітній майданчик Canvas та його материнська компанія Instructure нещодавно підтвердили, що стали жертвою мережевої безпекової вразливості, через яку відбулося масове розкриття персональних даних користувачів. Гакерська група ShinyHunters заявляє, що отримала персональну інформацію приблизно 9 000 шкіл у всьому світі, а це до 275 мільйонів людей, і використовує її для шантажу компанії з вимогою викупу. Instructure повідомляє, що співпрацює із зовнішніми експертами з кібербезпеки та правоохоронними органами для розслідування, і хоча частина імен користувачів, електронних адрес та номерів студентських квитків була оприлюднена, підкреслює, що наразі немає доказів, які б свідчили про те, що постраждали паролі або фінансова інформація.

Материнська компанія Canvas Instructure підтвердила, що її атакували: у сфері освіти з’являється безпекова криза

За повідомленням CNN, материнська компанія Instructure всесвітньо відомої платформи цифрового навчання та LMS Canvas минулої п’ятниці підтвердила, що системи компанії зазнали кібератаки. Згідно з попереднім розслідуванням, інформація, що витекла, включає імена користувачів, адреси електронної пошти, номери студентських квитків, а також комунікаційні повідомлення між користувачами постраждалих установ. Оскільки Canvas широко використовується в США для керування навчальним процесом у школах різного рівня, здачі домашніх завдань і оцінювання результатів, інцидент викликав занепокоєння в освітній спільноті щодо безпеки персональних даних студентів і викладачів.

Гакери висувають ультиматум! Дані 275 мільйонів користувачів можуть витекти

Відома хакерська група ShinyHunters заявила, що взяла на себе відповідальність за цю атаку, та внесла Instructure до свого списку витоків на даркнеті. Організація стверджує, що має доступ до конфіденційної персональної інформації (PII) 8 809 шкіл у всьому світі загалом на 275 мільйонів осіб; під удар потрапляють студенти, вчителі та працівники адміністрації закладів. Гакери також зазначили, що витеклі дані містять десятки мільярдів приватних повідомлень і дані з системи Salesforce. ShinyHunters установила крайній термін ультиматуму — 6 травня 2026 року — і погрожує, що якщо викуп не буде сплачено, буде оприлюднено всі дані; оскільки термін уже минув, подальший рух інформації викликає підвищену увагу в суспільстві.

Instructure терміново запустила заходи безпеки, відкликала сертифікати та посилила моніторинг

Після виявлення аномальної активності Instructure одразу вжила заходів реагування, щоб локалізувати вразливість безпеки. Компанія повідомила, що відкликала привілейовані сертифікати та Access Tokens, розгорнула найновіші безпекові патчі та профілактично замінила частину ключів. Хоча за результатами поточного розслідування встановлено, що вразливість уже взято під контроль, компанія посилила моніторинг систем у різних платформах, щоб запобігти повторним атакам. Instructure наголошує, що наразі немає доказів викрадення паролів, дат народження, державних ідентифікаційних документів або будь-яких фінансових даних користувачів.

Глобальне попередження про безпеку в освітніх технологіях: масштаб витоку персональних даних Canvas продовжує зростати

Instructure підтримує зв’язок із постраждалими освітніми закладами та обіцяє, що в разі появи нових результатів розслідування оперативно оновлюватиме інформацію на офіційному сайті у розділі статусу. Для постраждалих шкіл, окрім юридичних зобов’язань щодо витоку даних студентів, це означає зіткнення з хвилею приватності всередині закладу через можливе розкриття внутрішніх приватних повідомлень. Експерти з кібербезпеки радять працівникам, які користуються цією системою, залишатися пильними та запобігати можливим фішинговим листам або шахрайським кампаніям, які можуть наслідувати одна за одною.

Ця стаття «Освітня платформа Canvas підтвердила, що зазнала атаки, а персональні дані 275 мільйонів користувачів можуть бути розкриті» вперше з’явилася на сайті «鏈新聞 ABMedia».