Instructure, firma technologiczna odpowiedzialna za platformę Canvas, potwierdziła, że w wyniku cyberataku doszło do ujawnienia części danych osobowych użytkowników. Do odpowiedzialności za incydent przyznała się grupa ShinyHunters, która twierdzi, że skala naruszenia może być znacznie większa niż zakres dotychczas potwierdzony przez spółkę.
Instructure po raz pierwszy poinformowało o incydencie w piątek, 1 maja, określając go jako zdarzenie cyberbezpieczeństwa przeprowadzone przez przestępczego aktora zagrożeń. Dzień później firma zaktualizowała komunikat, potwierdzając, że naruszone zostały dane użytkowników z części instytucji korzystających z jej usług.
Według informacji przekazanych przez Instructure ujawnione dane mogą obejmować imiona i nazwiska, adresy e-mail, numery identyfikacyjne studentów oraz wiadomości wymieniane między użytkownikami. Firma podkreśliła jednocześnie, że nie znalazła dowodów na ujawnienie haseł, dat urodzenia, numerów dokumentów tożsamości ani danych finansowych.
W związku z incydentem część usług Canvas, w tym Canvas Data 2 i Canvas Beta, została objęta pracami konserwacyjnymi od 1 maja. Steve Proud, dyrektor ds. bezpieczeństwa informacji w Instructure, poinformował 2 maja, że incydent został opanowany. Spółka przekazała również, że wdrożyła poprawki bezpieczeństwa, zwiększyła monitoring oraz przeprowadziła rotację kluczy aplikacji, co wymaga od klientów ponownej autoryzacji dostępu przez API.
Grupa ShinyHunters opublikowała komunikat na swojej stronie, w którym zaprezentowała odmienną ocenę skutków incydentu. Według oświadczenia hakerów, naruszenie bezpieczeństwa objęło niemal 9 tysięcy placówek edukacyjnych na świecie i doprowadziło do przejęcia danych 275 milionów osób, w tym uczniów i personelu dydaktycznego. Przestępcy utrzymują ponadto, że uzyskali nieautoryzowany dostęp do systemu Salesforce należącego do Instructure, a skompromitowane zbiory dotyczą blisko 15 tysięcy instytucji zlokalizowanych w Ameryce Północnej, Europie oraz regionie Azji i Pacyfiku.
Twierdzenia te nie zostały potwierdzone przez Instructure. Firma nie odniosła się szczegółowo do deklaracji grupy dotyczących liczby poszkodowanych instytucji, liczby użytkowników ani zakresu rzekomo przejętych wiadomości. ShinyHunters miała wyznaczyć termin zapłaty okupu na 6 maja.
To kolejny poważny kryzys wizerunkowy Instructure w ostatnim czasie. Przypomnijmy, że we wrześniu 2025 roku firma informowała o innym naruszeniu, wynikającym z ataku socjotechnicznego wymierzonego w jej środowisko Salesforce. Tamten incydent również przypisano grupie ShinyHunters. Do tej pory władze spółki nie sprecyzowała jednak, czy oba ataki są ze sobą bezpośrednio powiązane i stanowią element jednej, długofalowej kampanii hakerskiej.
Canvas jest wykorzystywany przez tysiące uczelni, szkół i instytucji edukacyjnych na świecie. Sprawa wpisuje się w szerszy problem cyberataków na sektor edukacji oraz dostawców usług SaaS, których infrastruktura obsługuje wiele placówek jednocześnie. W dochodzeniu dotyczącym incydentu uczestniczą zewnętrzni eksperci ds. cyberbezpieczeństwa oraz organy ścigania.
