Утечка данных Canvas LMS: Выкуп за 275 млн записей уплачен

Взлом Canvas LMS стал крупнейшей утечкой данных в истории образования: хакерская группа ShinyHunters похитила 3,65 терабайта данных 275 миллионов студентов и сотрудников из 8 809 учебных заведений по всему миру. 11 мая 2026 года компания Instructure - разработчик Canvas - подтвердила выплату выкупа на нераскрытую сумму и уничтожение похищенных данных.

Как ShinyHunters организовала взлом Canvas LMS

Атака началась 25 апреля 2026 года. ShinyHunters воспользовалась уязвимостью в программе Canvas Free-For-Teacher - учётные записи для преподавателей выдавались без строгой верификации личности, что позволило хакерам получить доступ к внутренней инфраструктуре. 3 мая группа публично заявила об ответственности и пригрозила опубликовать весь массив в 3,65 ТБ, если Instructure не заплатит до 12 мая.

Instructure поначалу хранила молчание. 7 мая ShinyHunters провела повторное вторжение - взломала страницу входа Canvas, демонстрируя сохранение доступа и обнуляя таймер. Двойной удар дезорганизовал работу университетов США, Канады, Европы и Австралии в разгар экзаменационной сессии: многие вузы были вынуждены перенести финальные экзамены.

275 миллионов записей: что именно украдено?

Персональные данные: полные имена, адреса, электронная почта и идентификационные номера студентов и сотрудников 8 809 учреждений.
Личная переписка: личные сообщения, комментарии к заданиям и конфиденциальные письма между студентами и преподавателями через платформу Canvas.
Академические данные: названия курсов, статус зачисления, исторические оценки и постоянные академические записи.
Масштаб: 275 миллионов человек из университетов, министерств образования и школ в десятках стран.

Среди подтверждённых жертв - Гарвардский университет, Университет Дьюка и Пенсильванский университет. Исследователи в области кибербезопасности и Википедия зафиксировали взлом Canvas LMS как крупнейшую кибератаку в истории образовательного сектора.

Instructure заплатила - но действительно ли данные уничтожены?

11 мая Instructure опубликовала официальные извинения за отсутствие прозрачности и объявила о достижении соглашения с ShinyHunters на нераскрытую сумму. По заявлению компании, скомпрометированные данные были безвозвратно уничтожены после выплаты.

Важно: эксперты по кибербезопасности предупреждают: выплата выкупа не гарантирует уничтожения данных. Независимой проверки того, что ShinyHunters действительно удалила 3,65 ТБ, не существует. Всем пострадавшим студентам и преподавателям следует исходить из того, что их персональные данные могут по-прежнему находиться в обороте в даркнете.

Уязвимость, открывшая путь хакерам

Вектор атаки - бесплатные учётные записи преподавателей без проверки личности - обнажил системный изъян в безопасности современных образовательных платформ. ShinyHunters использовала учётные данные, которые платформа сама раздавала без ограничений, чтобы проникнуть в защищённую инфраструктуру. Этот вход через цепочку поставок не требовал сложных zero-day-эксплойтов - достаточно было воспользоваться логической ошибкой в управлении привилегиями.

Исследователи Halcyon и Bitdefender указали, что взлом вписывается в широкую картину атак программ-вымогателей на образовательный сектор. Такие организации хранят огромные объёмы ценных персональных данных, при этом традиционно имея меньший бюджет на кибербезопасность по сравнению с корпоративными структурами.

Почему защита соединения важна сейчас как никогда

Этот взлом наглядно демонстрирует: защита собственного подключения - первая линия личной обороны. Хакеры нередко получают первоначальные учётные данные, перехватывая незашифрованный трафик в публичных сетях Wi-Fi кампусов. Одна скомпрометированная запись может стать отправной точкой для исследования уязвимостей крупных платформ, таких как Canvas.

Шифруя своё соединение, студенты и преподаватели существенно усложняют злоумышленникам перехват сессий или паролей в локальной сети. Ни одна мера не способна устранить уязвимость на стороне сервера Instructure, однако сокращение поверхности атаки в публичных сетях остаётся разумной практикой - и именно в таких сценариях VPN обеспечивает значимый уровень защиты.

Что следует сделать пострадавшим студентам прямо сейчас

Смените пароль в Canvas и включите многофакторную аутентификацию через приложение-аутентификатор.
Следите за целевыми фишинговыми письмами, адресованными на ваш институциональный email.
Если вы использовали пароль Canvas на других платформах - немедленно смените его и там.
Отслеживайте подозрительную активность на всех аккаунтах, связанных с вашим университетским email.

Заключение

Заключение: Взлом Canvas LMS стал переломным моментом для цифровой безопасности в мировом образовании. Instructure заплатила, чтобы устранить непосредственную угрозу, однако системная проблема никуда не делась: централизованные платформы хранят сотни миллионов персональных записей при недостаточном контроле доступа. Пока такие платформы не введут строгую верификацию для учётных записей с расширенными привилегиями, этот сценарий вымогательства будет оставаться рабочим инструментом атак.

Источники:
• Instructure Reaches Ransom Agreement with ShinyHunters - The Hacker News
• Instructure Pays Ransom to Canvas Hackers - Inside Higher Ed
• Millions of Students Personal Data Stolen - Malwarebytes
• ShinyHunters Claims Second Attack Against Instructure - Dark Reading