Canvas este folosit de 30 de milioane de utilizatori – inclusiv de jumătate din instituțiile de învățământ superior din America de Nord – pentru gestionarea cursurilor, predarea temelor, vizualizarea notelor și facilitarea comunicării, potrivit companiei-mamă Instructure. Dar când Linker și mulți alți utilizatori au încercat să acceseze platforma joi după-amiază, s-au trezit cu un ecran negru și un mesaj de avertizare: „ShinyHunters a spart Instructure (din nou). În loc să ne contacteze pentru a rezolva problema, ne-au ignorat și au făcut niște „patch-uri de securitate”. ShinyHunters este aceeași entitate care și-a asumat responsabilitatea pentru o breșă masivă de date la Ticketmaster în 2024. Ca multe astfel de grupuri, este un grup de tineri care lucrează de la distanță, „un fel de bandă ransomware”, spune Rachel Tobac, CEO al SocialProof Security, care instruiește persoane și companii să se apere împotriva hackerilor.
ShinyHunters a scris pe un site de informații despre amenințări la începutul săptămânii că breșa inițială de sâmbătă a implicat date – inclusiv mesaje private – de la 275 de milioane de studenți, profesori și personal din aproape 9.000 de școli din întreaga lume. Grupul a spus joi că școlile afectate pot preveni publicarea datelor lor consultând firme de consiliere cibernetică și negociind soluții prin platforma de chat criptat Tox. „Aveți timp până la sfârșitul zilei de 12 mai 2026 înainte ca totul să fie scurs”, au scris hackerii.
Instructure a confirmat o serie de breșe de securitate cibernetică în această săptămână și a oferit actualizări de stare pe site-ul său. A spus că breșa părea să implice doar informații de identificare precum nume, adrese de e-mail, numere de identificare a studenților și mesaje ale utilizatorilor – fără parole, date de naștere, identificatori guvernamentali sau informații financiare. Instructure a confirmat pe o pagină de întrebări frecvente că a început o investigație după ce a detectat prima dată activitate neautorizată în Canvas pe 29 aprilie și a scos Canvas offline joi, după ce același actor neautorizat „a făcut modificări care au apărut când unii studenți și profesori erau autentificați”. Au spus că actorul a exploatat o problemă legată de conturile Free-for-Teacher, pe care le-a dezactivat temporar. „Acest lucru ne dă încrederea să restabilim accesul la Canvas, care este acum complet online și disponibil pentru utilizare”, a spus compania într-o declarație pentru NPR. „Regretăm neplăcerile și îngrijorarea pe care acest lucru le-ar fi putut cauza.”
Nu este clar dacă Instructure a plătit o răscumpărare sau ce înseamnă revenirea accesului la Canvas pentru termenul limită de 12 mai stabilit de hackeri. Tobac spune că Canvas ar putea fi online din cauza unei negocieri reușite sau pentru că hackerii „nu au ajuns foarte departe în atacul lor”. Oricum ar fi, spune ea, utilizatorii ar trebui să rămână vigilenți, în special la mesajele de phishing – fie că este vorba de cineva care se dă drept Canvas și solicită schimbarea parolei, fie că se preface a fi un profesor care trimite materiale de curs. „Aș opera sub presupunerea că vor exista efecte colaterale aici”, spune ea.
Chiar înainte de miezul nopții de joi, Instructure a postat online că „Canvas este acum disponibil pentru majoritatea utilizatorilor”, deși două servicii separate, Canvas Beta și Canvas Test, au rămas în modul de întreținere. Studenții și cadrele didactice de la cel puțin unele școli încă nu au putut accesa Canvas vineri – fie pentru că serviciul nu fusese încă restabilit, fie pentru că administratorii i-au avertizat să stea departe. Universitatea Penn State, de exemplu, a spus vineri dimineață că, deși accesul școlii la Canvas fusese parțial restabilit, „nu este încă gata de utilizare”. „Echipele tehnice de la Penn State lucrează activ pentru a pregăti sistemul pentru comunitatea noastră”, a adăugat aceasta. „Pe măsură ce accesul este restabilit, integrările Canvas și serviciile conexe vor fi readuse online în faze.”
Mai multe școli au adoptat abordări similare, fie dezactivând temporar accesul la Canvas, fie cerând utilizatorilor să stea departe. Universitatea din California a spus că, în toate școlile sale, „accesul la Canvas nu va fi restabilit până când nu vom fi siguri că sistemul este securizat”. Și nu este vorba doar de învățământul superior: sistemul școlar public din comitatul Montgomery, Maryland, a anunțat familiile vineri dimineață că, deși serviciul a revenit, „continuăm să testăm și să revizuim sistemele înainte de a restabili accesul”. Tobac spune că acest lucru ar putea însemna că școlile cred că atacatorii ar putea fi încă în sistemele lor, furând potențial informații precum parole și mesaje. „Atacatorii au obținut probabil informații sensibile și... [școlile] nu vor ca aceste informații să fie publicate online”, spune ea.
Multe școli îndeamnă utilizatorii să fie foarte atenți la orice e-mailuri sau mesaje nesolicitate care par să vină de la Canvas, în special cele care solicită date de autentificare, așa cum a avertizat Universitatea Georgetown. Universitatea din Amsterdam – care spune că este una dintre cele 44 de instituții de învățământ olandeze afectate – recomandă, de asemenea, oamenilor să își schimbe parolele pe orice alte site-uri unde folosesc aceeași parolă. Tobac recomandă, de asemenea, utilizarea unui manager de parole – pentru a genera parole lungi și aleatorii pentru fiecare autentificare – și activarea autentificării cu mai mulți factori pentru toate conturile online, nu doar pentru Canvas. Ea spune că orice student sau profesor care primește un apel, un text sau un e-mail suspect ar trebui să „folosească o altă metodă de comunicare pentru a verifica ce este autentic”. „Chiar dacă nu ar fi fost nicio breșă ieri, aș spune că acestea sunt lucrurile pe care vă recomand să le faceți”, adaugă ea, îndemnând oamenii să fie „politicos paranoici”.
Mai multe școli afectate de breșă au amânat deja sau au anulat complet unele examene finale, iar altele avertizează studenții și profesorii că ar putea fi nevoie să facă acest lucru. Universitatea din Illinois amână toate examenele finale și temele programate până duminică. Penn State a anulat anumite examene programate pentru joi seară și vineri, spunând că lucrează cu facultatea pentru a „determina pașii următori pentru notarea finală” și îndeamnă studenții să rămână în contact cu profesorii.
De ce este important:
Această breșă de securitate subliniază vulnerabilitatea sistemelor educaționale digitale, mai ales în perioade critice precum examenele finale. Ea afectează milioane de utilizatori și ridică întrebări serioase despre securitatea datelor personale, continuitatea procesului educațional și încrederea în platformele online. De asemenea, evidențiază necesitatea ca instituțiile de învățământ să adopte măsuri proactive de securitate cibernetică și să pregătească planuri de urgență pentru astfel de incidente.
