В начале мая 2026 года компания Instructure, разработчик популярной образовательной платформы Canvas, подтвердила факт кибератаки, затронувшей её основную систему управления обучением. Это уже второй инцидент с участием известной хакерской группы ShinyHunters за последние восемь месяцев. Если в сентябре 2025 года злоумышленники атаковали бизнес-системы Instructure на базе Salesforce, используя методы социальной инженерии, то теперь удар был нанесён непосредственно по платформе Canvas. Злоумышленники воспользовались уязвимостью в программе бесплатных аккаунтов для учителей под названием Free-For-Teacher.
Описание
Информация о несанкционированном доступе стала известна 1 мая 2026 года, хотя сама активность была зафиксирована ещё 29 апреля. Instructure немедленно начала расследование и приняла меры, включая отзыв привилегированных учётных данных, ротацию ключей API и привлечение экспертов по криминалистике и правоохранительных органов. Пик кризиса пришёлся на 7 мая, когда платформа Canvas, а также её тестовые версии были временно отключены для анализа. На следующий день сервисы восстановили, но ключевое последствие - программа Free-For-Teacher была полностью закрыта навсегда.
Что именно произошло? По данным самой компании, злоумышленники сумели получить доступ к данным, хранящимся в Canvas, включая имена пользователей, адреса электронной почты, идентификационные номера студентов, а также некоторые личные сообщения. Важно отметить, что компания отчёт заявляет об отсутствии доказательств утечки паролей, дат рождения, правительственных идентификаторов или финансовой информации. ShinyHunters, в свою очередь, утверждает о краже 3,6 терабайта данных, охватывающих около 275 миллионов пользователей из 9 тысяч учебных заведений. Instructure эти цифры официально не подтверждает. Среди пострадавших, по сообщениям TechCrunch, значатся такие крупные университеты, как Пенсильванский университет, Гарвард, MIT и Оксфорд, а также множество школ и округов в США, Австралии и странах Европейского союза.
Ключевая проблема, позволившая атаке стать настолько масштабной, кроется в архитектурном решении. Программа Free-For-Teacher была создана для учителей, которые могли получить доступ к функциям Canvas без подтверждения принадлежности к учебному заведению. Такие аккаунты работали на той же производственной инфраструктуре, что и платные аккаунты для школ, то есть на общих серверных мощностях. В многопользовательских облачных сервисах (SaaS) изоляция данных разных клиентов обычно обеспечивается программными настройками. Однако когда проверка личности пользователя ослабляется на бесплатном уровне, барьеры между пользователями становятся хрупкими. Именно это и произошло: инструмент для пилотирования платформы превратился в точку входа для киберпреступников.
Механизм эксплуатации до сих пор не раскрыт Instructure в деталях. Однако косвенные признаки указывают на серьёзность взлома. Сообщается об изменении страниц входа в систему некоторых учебных заведений. Если это правда, то злоумышленник получил не только доступ для чтения данных, но и права на запись для изменения конфигурации или пользовательского интерфейса. Такой уровень доступа обычно требует повышенных привилегий, что говорит о глубоком проникновении в систему.
Главная угроза сейчас - не столько сам факт утечки, сколько её последствия. Собранные данные являются идеальным топливом для целевых фишинговых атак. Если обычное фишинговое письмо от имени администрации Canvas легко распознать, то сообщение, содержащее номер студенческого билета, цитирующее личное сообщение или упоминающее конкретный курс, создаёт ложное чувство доверия. Злоумышленники, используя эту информацию, могут выманивать учётные данные от других систем, распространять вредоносное ПО через поддельные материалы курсов или пытаться получить доступ к аккаунтам преподавателей.
Для IT-отделов учебных заведений ситуация усложняется тем, что у них нет простого способа определить, какие именно бесплатные аккаунты взаимодействовали с их собственным пространством в Canvas. Логи, фиксирующие такую активность, могут быть недоступны. Это означает, что любая интеграция сторонних инструментов через API или использование бесплатных аккаунтов учителями для пилотных проектов могла быть скомпрометирована. Instructure уже провела ротацию своих сервисных ключей, поэтому теперь каждой школе необходимо заново авторизовать все интеграции в своей панели администратора, удалив старые и добавив новые учётные данные.
Что делать специалистам по безопасности? Первым делом необходимо проверить, фигурирует ли ваше учебное заведение в опубликованном злоумышленниками списке. Если да, то нужно срочно провести ротацию всех ключей API и паролей, а также перепроверить все интеграции. Далее следует проанализировать логи Canvas на предмет подозрительной активности в период с 30 апреля по 7 мая, особенно со стороны аккаунтов с внешними адресами электронной почты. И самое главное - немедленно оповестить студентов и преподавателей о росте рисков фишинга. Любое письмо, которое ссылается на Canvas и содержит ссылку на переход по ней, должно быть проверено через официальный портал. Мониторинг должен продолжаться не менее 90 дней, так как украденные данные остаются актуальными для атак ещё долгое время.
Этот инцидент - яркий пример того, как freemium-модели (бесплатный базовый функционал) в B2B-сервисах могут стать слабым звеном. Компании, внедряющие облегчённую проверку личности на бесплатном уровне, но размещающие данные на одной инфраструктуре с платными клиентами, делают ставку на то, что злоумышленники не найдут эту лазейку. Instructure заплатила высокую цену за это допущение. Теперь всему сообществу - и разработчикам, и администраторам образования - придётся пересмотреть подходы к изоляции данных в многопользовательских средах.
Индикаторы компрометации
IPv4
- 91.215.85.103
URLs
- http://91.215.85.103/pay_or_leak/instructure_affected_schools_list.txt
- http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion/
