Instructure, разработчик учебной платформы Canvas, подтвердила киберинцидент с утечкой пользовательских данных. Компания сообщила, что злоумышленники могли получить имена, адреса электронной почты, студенческие идентификаторы и сообщения пользователей. Доказательств утечки паролей, дат рождения, государственных идентификаторов и финансовой информации на 4 мая нет.
Canvas используют школы, университеты и корпоративные учебные центры для курсов, заданий, оценок и общения внутри учебного процесса. Инцидент заметили 30 апреля: часть клиентов столкнулась со сбоями в инструментах, которые зависят от API-ключей. 1 мая Instructure подтвердила, что речь идёт о кибератаке, а 2 мая заявила о локализации инцидента.
Компания отозвала привилегированные учётные данные и токены доступа, установила исправления, усилила мониторинг и перевыпустила часть ключей приложений. Из-за этого пользователям и администраторам Canvas пришлось заново разрешать доступ внешним инструментам. Instructure отдельно пояснила, что ключи с временной меткой в названии — легитимные.
Ответственность за атаку взяла группировка ShinyHunters. Она заявила о краже 3,65 ТБ данных и утверждает, что затронуты почти 9 тысяч учебных организаций и до 275 млн человек. Эти цифры пока не подтверждены независимо. BleepingComputer пишет, что не смог проверить масштаб утечки и список пострадавших организаций.
Злоумышленники также утверждают, что в массиве есть более 240 млн записей о студентах, преподавателях и сотрудниках, включая курсы и личные сообщения. Instructure эти оценки не подтверждала и не называла точное число пострадавших учреждений или пользователей.
Напоминаем, что в сентябре 2025 года Instructure уже сообщала о другом инциденте, связанном с социальной инженерией и Salesforce. Тогда компания заявляла, что продукты Instructure и продуктовые данные не были затронуты, а доступ касался в основном деловой контактной информации. Текущий инцидент выглядит серьёзнее, потому что компания сообщила о пользовательских данных и сообщениях.
На странице статуса Instructure 4 мая указала, что Canvas Data 2 и Beta снова доступны для всех клиентов, а Canvas Test ещё остаётся на обслуживании. Основные сервисы Canvas на момент публикации отмечены как работающие.
Администраторам Canvas стоит проверить интеграции, журналы доступа и уведомления от Instructure, а пользователям — внимательно относиться к письмам с просьбой перейти по ссылке, «переавторизовать» доступ или срочно подтвердить учётную запись.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
