ShinyHunters взломали Instructure Canvas LMS, заявив о 275 миллионах пользователей и 3,65 ТБ данных студентов из 9,000 школ, включая 44 голландских учреждения.

      TL;DRShinyHunters взломали систему управления обучением Canvas компании Instructure, заявив о краже 3,65 терабайта данных от 275 миллионов пользователей в 9,000 учебных заведениях по всему миру, включая личные сообщения между студентами и преподавателями. Подтверждено, что 44 голландских университета и школы пострадали, а утечка, ставшая второй для Instructure за восемь месяцев, выявляет структурный риск концентрации поставщиков в области образовательных технологий.

      Самая крупная утечка данных в истории образования не была атакой на школу. Это была атака на поставщика. 30 апреля хакеры использовали уязвимость в системах Instructure, компании, которая разработала Canvas, систему управления обучением, используемую 41% высших учебных заведений Северной Америки.

      Криминальная группа ShinyHunters, ранее организовавшая атаки на цепочку поставок Snowflake, которые затронули Ticketmaster и AT&T, утверждает, что украла 3,65 терабайта данных, затрагивающих 275 миллионов пользователей почти 9,000 образовательных учреждений по всему миру, включая личные сообщения между студентами, преподавателями и сотрудниками.

      В Нидерландах подтверждено, что пострадали 44 университета и школы, от Университета Амстердама и Врйе Университета до Гаагского университета прикладных наук. Голландские власти предупредили студентов и сотрудников быть бдительными. Хакеры потребовали от Instructure заплатить до 8 мая, иначе данные будут обнародованы.

      Утечка выявляет структурную уязвимость в том, как образование было цифровизировано: школы не выбирали, чтобы стать жертвами атаки, и не могли предотвратить это, поскольку решение доверить данные студентов одному поставщику было принято много лет назад, и безопасность поставщика никогда не была под их контролем.

      Компания

      Instructure была основана в 2008 году и превратила Canvas в доминирующую платформу управления обучением в США, обогнав Blackboard и заняв 31% рынка LMS высшего образования Северной Америки к 2018 году. Компания вышла на биржу в 2015 году, была выкуплена Thoma Bravo в сделке на два миллиарда долларов в 2020 году и снова продана KKR и Dragoneer Investment Group в ноябре 2024 года за 4,8 миллиарда долларов.

      Сейчас компания работает как частное предприятие, принадлежащее одному из крупнейших управляющих альтернативными активами в мире, обслуживая примерно 200 миллионов учащихся в более чем 100 странах. В ее продуктах есть Canvas LMS, Canvas Studio для видеообучения и Mastery Assessment для отслеживания компетенций. Платформа встроена в повседневную академическую жизнь студентов от средней школы до аспирантуры, обрабатывая учебные материалы, задания, оценки и, критически, прямые сообщения между студентами и преподавателями.

      Это вторая подтвержденная утечка Instructure за примерно восемь месяцев. В сентябре 2025 года ShinyHunters использовали атаку социальной инженерии против среды Salesforce компании. Атака в апреле 2026 года использовала уязвимость в производственных системах Instructure, которую компания утверждает, что с тех пор исправила. Главный специалист по информационной безопасности Instructure Стив Прауд уведомил клиентов 1 мая о том, что компания столкнулась с инцидентом кибербезопасности, подтвердив, что утекшие данные могут включать имена, адреса электронной почты, номера идентификации студентов и сообщения в Canvas Inbox и Discussion.

      Компания утверждает, что нет никаких признаков того, что даты рождения, государственные идентификаторы, финансовая информация или пароли были скомпрометированы. Но включение личных сообщений, которые могут содержать номера телефонов, домашние адреса и личную информацию, переданную в ожидании конфиденциальности, делает утечку качественно отличной от типичной утечки данных с именами и адресами электронной почты.

      Атакующие

      ShinyHunters — это криминальная группа хакеров и вымогателей, которая активна с 2020 года и стала одной из самых плодовитых краж данных в мире. Группа, как полагают, состоит из небольшого числа основных участников, базирующихся в Канаде и Франции, специализируется на нацеливании на компании, предоставляющие услуги нескольким организациям, что позволяет одной утечке каскадировать по тысячам жертв.

      В 2024 году ShinyHunters организовали кампанию по цепочке поставок Snowflake, затронувшую примерно 165 организаций, включая Ticketmaster, где было раскрыто 560 миллионов записей, и AT&T, где были украдены данные о 110 миллионах клиентов. AT&T заплатила 370,000 долларов выкупа, чтобы удалить данные. В марте 2026 года ShinyHunters взломали Европейскую комиссию, утекнув 350 гигабайт данных от 42 внутренних клиентов и как минимум 29 организаций ЕС. Метод группы последователен: идентифицировать поставщика или платформу с доступом к большим объемам данных, использовать уязвимость или вектор социальной инженерии, экстрагировать данные и требовать оплату под угрозой публичного раскрытия.

      Утечка Instructure точно соответствует этой схеме. ShinyHunters разместили свое заявление на форуме темной сети 2 мая, перечислив 8,809 школьных округов, университетов и онлайн-образовательных платформ с количеством записей по каждому учреждению. Группа предупредила Instructure «принять правильное решение» до 6 мая, позже продлив до 8 мая, иначе они столкнутся с раскрытием полного набора данных вместе с тем, что они описали как «несколько раздражающих цифровых проблем». Хакеры утверждают, что владеют миллиардами личных сообщений.

      Индустрия кибербезопасности предсказывала, что 2026 год станет годом управляемого ИИ безопасности, с автоматизированными системами обнаружения угроз и реагирования, достигшими операционной зрелости. Утечка Instructure предполагает, что разрыв в управлении между позицией безопасности предприятия и возможностями атакующих остается широким, и что наиболее уязвимыми являются не те организации, у которых самая слабая безопасность, а те, чьи поставщики имеют самый широкий радиус поражения.

      Уязвимость

      Структурная проблема, которую выявляет утечка, — это концентрация поставщиков. Canvas доминирует на своем рынке, потому что он хорош: платформа хорошо спроектирована, надежна и глубоко интегрирована в рабочие процессы учреждений. Но доминирование означает, что одна ошибка безопасности в одной компании может скомпрометировать академические записи и частные коммуникации студентов в 9,000 учреждениях в десятках стран одновременно. Школы и университеты, пострадавшие от утечки, не принимали участия в решениях по безопасности, которые это позволили. Их не консультировали по поводу уязвимости, которая была использована.

      Они не могут независимо проверять безопасность систем, которые хранят данные их студентов. Они находятся, в языке кибербезопасности, ниже по течению. Европа разрушает и переписывает свои собственные регуляторные правила в попытке сбалансировать инновации и безопасность, но утечка Canvas демонстрирует, что сектор образования находится в регуляторном разрыве: школы подлежат обязательствам по защите данных в соответствии с GDPR и, в Нидерландах, новому Закону о кибербезопасности, транспонирующему NIS2, однако их способность выполнять эти обязательства зависит от практик безопасности частной компании, принадлежащей частной инвестиционной фирме на другом континенте.

      Текущие усилия ЕС по окончательному завершению поправок к Закону о ИИ иллюстрируют более широкую проблему: регулирование постоянно отстает от скорости, с которой технологии концентрируют данные, и скорости, с которой атакующие используют эту концентрацию. NIS2 накладывает требования по отчетности о нарушениях и штрафы до 10 миллионов евро или 2% от глобального оборота за несоответствие, а Закон о киберустойчивости, который начнет действовать в сентябре 2026 года, будет обязывать сообщать о уязвимостях для продуктов с цифровыми элементами.

      Но зависимость сектора образования от небольшого числа доминирующих платформ означает, что соблюдение норм на уровне учреждений не может предотвратить утечку на уровне поставщика. 44 голландских учреждения, пострадавших от утечки Canvas, могли полностью соответствовать всем применимым нормам и все равно не имели возможности предотвратить или смягчить атаку.

      Шаблон

      Утечка Instructure является последней в серии