Nền tảng giáo dục Canvas xác nhận bị tấn công, dữ liệu cá nhân của 275 triệu người dùng có nguy cơ bị rò rỉ

Công ty mẹ của nền tảng giáo dục nổi tiếng Canvas, Instructure, gần đây đã xác nhận bị lộ lỗ hổng an ninh mạng, khiến thông tin cá nhân của một lượng lớn người dùng bị rò rỉ. Tổ chức tin tặc ShinyHunters tuyên bố đã có được dữ liệu cá nhân của khoảng 9.000 trường học trên toàn cầu, tương đương tới 275 triệu người, và dùng đó để tống tiền công ty. Instructure cho biết đang phối hợp với các chuyên gia an ninh mạng bên ngoài và cơ quan thực thi pháp luật để điều tra; dù một số người dùng bị lộ tên, email và mã số thẻ học sinh, công ty nhấn mạnh hiện chưa có bằng chứng cho thấy mật khẩu hoặc thông tin tài chính bị ảnh hưởng.

Công ty mẹ của Canvas, Instructure, xác nhận bị tấn công, khủng hoảng an ninh mạng trong giáo dục xuất hiện

Theo CNN, công ty mẹ của hệ thống quản lý học tập (LMS) Canvas nổi tiếng toàn cầu là Instructure đã xác nhận vào thứ Sáu tuần trước rằng hệ thống của công ty đã hứng chịu một cuộc tấn công mạng. Theo điều tra ban đầu, thông tin bị rò rỉ bao gồm tên người dùng của các tổ chức bị ảnh hưởng, địa chỉ email, mã số thẻ học sinh, và các tin nhắn liên lạc giữa người dùng. Do Canvas được sử dụng rộng rãi trong quản lý học tập tại các trường học trên khắp Hoa Kỳ từ nhiều cấp độ—quản lý việc nộp bài và chấm điểm—sự việc đã làm dấy lên lo ngại trong ngành giáo dục về an toàn dữ liệu cá nhân của học sinh và giảng viên.

Kẻ tấn công đưa ra tối hậu thư cuối cùng! Có thể rò rỉ 275 triệu bản dữ liệu cá nhân

Tổ chức tin tặc ShinyHunters nổi tiếng đã tuyên bố nhận trách nhiệm cho cuộc tấn công này và đưa Instructure vào danh sách rò rỉ trên dark web của mình. Nhóm này khẳng định đã nắm giữ thông tin cá nhân nhạy cảm (PII) của 8.809 trường học trên toàn cầu, với tổng cộng 275 triệu cá nhân; đối tượng bị ảnh hưởng bao gồm học sinh, giáo viên và nhân viên phụ trách công vụ. Tin tặc cũng cho biết dữ liệu rò rỉ bao gồm hàng tỷ tin nhắn cá nhân và dữ liệu từ hệ thống Salesforce. ShinyHunters đặt thời hạn tối hậu thư là ngày 6/5/2026, đe dọa nếu không trả tiền chuộc thì sẽ công khai toàn bộ dữ liệu; khi thời hạn đã qua, dòng dữ liệu tiếp theo khiến nhiều nơi quan tâm.

Instructure khẩn cấp kích hoạt biện pháp an toàn, thu hồi chứng chỉ để tăng cường giám sát

Sau khi phát hiện hoạt động bất thường, Instructure ngay lập tức triển khai các biện pháp ứng phó nhằm khoanh vùng lỗ hổng an ninh mạng. Công ty cho biết đã thu hồi các chứng chỉ đặc quyền và mã thông báo truy cập (Access Tokens), triển khai các bản vá bảo mật mới nhất và thay thế chủ động một số khóa. Mặc dù kết quả điều tra hiện tại cho thấy lỗ hổng đã được kiểm soát, công ty vẫn tăng cường giám sát hệ thống trên nhiều nền tảng để ngăn ngừa các cuộc tấn công tiếp diễn. Instructure nhấn mạnh rằng hiện chưa phát hiện bằng chứng nào cho thấy mật khẩu, ngày sinh, giấy tờ định danh của chính phủ hoặc bất kỳ dữ liệu tài chính nào của người dùng bị đánh cắp.

Cảnh báo an ninh mạng công nghệ giáo dục toàn cầu, phạm vi rò rỉ dữ liệu cá nhân của Canvas tiếp tục mở rộng

Instructure tiếp tục liên hệ với các tổ chức giáo dục bị ảnh hưởng và cam kết nếu có kết quả điều tra mới sẽ cập nhật ngay lên trang trạng thái trên website chính thức. Đối với các trường bị ảnh hưởng, ngoài trách nhiệm pháp lý phải xử lý việc dữ liệu cá nhân của học sinh bị rò rỉ, họ còn đối mặt với cơn bão riêng tư khi các tin nhắn nội bộ có thể bị công khai. Các chuyên gia an ninh mạng khuyến nghị những người liên quan sử dụng hệ thống này nên giữ cảnh giác, đề phòng các cuộc tấn công lừa đảo qua email hoặc các hoạt động giả mạo có thể tiếp nối.

Bài viết này Giáo dục nền tảng Canvas xác nhận bị tấn công, 275 triệu dữ liệu cá nhân người dùng có thể bị rò rỉ lần đầu xuất hiện trên 鏈新聞 ABMedia.