СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

ShinyHunters взломали Canvas: утечка данных и фишинг

Instructure сообщила о серьезном инциденте безопасности в Canvas LMS: хакерская группировка ShinyHunters вновь атаковала платформу, использовав уязвимости в основной функциональности продукта.

В мае 2026 года компания Instructure подтвердила значительное нарушение безопасности своей системы управления обучением Canvas Learning Management System (LMS). Это уже вторая атака со стороны ShinyHunters за восемь месяцев, что указывает на устойчивый интерес группировки к образовательным платформам и их пользователям.

Что произошло

Незаконная активность была впервые обнаружена 29 апреля 2026 года. По данным компании, период воздействия продолжался с 30 апреля по 7 мая. За это время злоумышленники получили доступ к персональным данным пользователей, включая:

  • имена;
  • адреса электронной почты;
  • идентификаторы студентов;
  • некоторые личные сообщения.

Criminal forensic analysis Instructure не выявил доказательств раскрытия паролей или финансовых данных. Однако компания признала, что скомпрометированная информация может быть использована для проведения персонализированных phishing-атак.

Как был совершен взлом

По имеющимся данным, инцидент был связан с функцией Free-For-Teacher в платформе Canvas, которая позволяла создавать учетные записи без институциональной верификации. Именно эта особенность, как следует из отчета, стала точкой входа для злоумышленников.

Средства защиты, рассчитанные на охрану данных tenant, оказались недостаточными: attacker получил доступ к конфиденциальной информации непосредственно в среде Canvas. Кроме того, имеются указания на то, что повышенные privileges могли позволить злоумышленнику deface страницы входа нескольких образовательных учреждений, однако Instructure официально этого не подтвердила.

Компания не раскрыла конкретные technical vulnerabilities, использованные ShinyHunters. Тем не менее инцидент показывает, что в архитектуре приложения существуют серьезные недостатки в границах trust.

Реакция Instructure

После обнаружения инцидента Instructure предприняла ряд экстренных мер:

  • временно отключила сервисы Canvas;
  • навсегда прекратила программу Free-For-Teacher;
  • начала отзыв скомпрометированных учетных данных;
  • начала взаимодействие с law enforcement.

Эти шаги были направлены на ограничение дальнейшего ущерба и предотвращение повторного использования похищенных данных.

ShinyHunters усиливает давление

Параллельно группировка ShinyHunters запустила публичную extortion campaign, требуя выплату ransom. В заявлении злоумышленники утверждали, что располагают 3,6 ТБ данных, относящихся к 275 миллионам пользователей примерно из 9 000 учреждений.

Однако эти цифры не были подтверждены Instructure.

Почему это опасно для образовательных учреждений

Последствия взлома создают существенные риски для universities, школ и других организаций, использующих Canvas. Наибольшую угрозу представляют последующие targeted phishing-кампании, особенно против студентов и преподавателей.

Имея доступ к именам, email-адресам и internal messages, злоумышленники могут создавать убедительные сообщения, которые выглядят как легитимные уведомления от учебного заведения. Это повышает вероятность успешного social engineering.

Учреждениям рекомендуется:

  • защитить свои API keys;
  • отслеживать попытки phishing;
  • при необходимости провести rotation учетных данных;
  • усилить мониторинг подозрительной активности после инцидента.

Что означает этот инцидент

Атака на Canvas LMS демонстрирует заметный operational shift со стороны ShinyHunters: группировка уходит от нацеливания на периферийные business systems и все чаще эксплуатирует уязвимости в core product features.

Для образовательного сектора это тревожный сигнал. В условиях, когда платформы дистанционного обучения хранят значительные объемы персональных данных, даже кратковременный доступ к системе может привести к долгосрочным последствиям — от targeted phishing до компрометации доверия к цифровой инфраструктуре учреждения.

Вывод: инцидент в Instructure подчеркивает необходимость более строгого контроля над trust boundaries, регулярной проверки механизмов доступа и готовности к быстрому реагированию на атаки, использующие скомпрометированные данные.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: