- Η ομάδα ShinyHunters παραβίασε την Instructure (μητρική εταιρεία του Canvas LMS) για δεύτερη φορά μέσα σε οκτώ μήνες, ισχυριζόμενη κλοπή 3,65 TB δεδομένων — 275 εκατ. εγγραφές από ~9.000 εκπαιδευτικά ιδρύματα παγκοσμίως.
- Τα εκτεθειμένα δεδομένα περιλαμβάνουν ονόματα, email, αριθμούς φοιτητικής ταυτότητας και ιδιωτικά μηνύματα μεταξύ φοιτητών και καθηγητών· η Instructure λέει ότι κωδικοί πρόσβασης και οικονομικά στοιχεία δεν επηρεάστηκαν.
- Στις 7 Μαΐου 2026, οι hackers εισέβαλαν εκ νέου και αντικατέστησαν το login portal του Canvas σε πολλά ιδρύματα με μήνυμα εκβιασμού, θέτοντας deadline έως 12 Μαΐου.
Στις 30 Απριλίου 2026, η επίθεση κατά της Instructure ξεκίνησε, με την εταιρεία να επιβεβαιώνει την 1η Μαΐου ότι hackers εκμεταλλεύτηκαν ευπάθεια για να αποκτήσουν πρόσβαση, αναγκάζοντάς την να κατεβάσει τμήματα της υπηρεσίας, συμπεριλαμβανομένων των Canvas Data 2 και Canvas Beta. Ο CISO Steve Proud δημοσίευσε επίσης ανακοίνωση που επιβεβαίωνε ότι η Instructure «είχε δεχτεί κυβερνοεπίθεση από εγκληματία απειλητικό παράγοντα», ενώ εξωτερικοί ειδικοί forensics κλήθηκαν να βοηθήσουν στην έρευνα.
«PAY OR LEAK»: Η απαίτηση στο dark web
Στις 3 Μαΐου, οι ShinyHunters έκαναν τη μεγάλη κίνηση: ανέβασαν την Instructure στο Tor-based extortion site τους με την απλή απειλή «PAY OR LEAK», ζητώντας πληρωμή για να μην δημοσιοποιήσουν τα κλεμμένα δεδομένα. Σύμφωνα με τους ίδιους τους hackers, έχουν κλέψει 3,65 terabytes δεδομένων — 275 εκατομμύρια εγγραφές, που περιλαμβάνουν δισεκατομμύρια ιδιωτικά μηνύματα μεταξύ φοιτητών και καθηγητών.
Αν η Instructure δεν πλήρωνε, οι hackers απείλησαν με διαρροή «αρκετών δισεκατομμυρίων ιδιωτικών μηνυμάτων μεταξύ φοιτητών-καθηγητών και φοιτητών-φοιτητών, που περιέχουν προσωπικές συνομιλίες και άλλα PII», σύμφωνα με το ransom letter που δημοσίευσε το Ransomware.live.
Τι δεδομένα εκτέθηκαν
Η Instructure επιβεβαίωσε ότι εκτέθηκαν ονόματα, email, αριθμοί φοιτητικής ταυτότητας και ιδιωτικά μηνύματα μεταξύ χρηστών. Η εταιρεία δήλωσε ότι δεν βρήκε αποδείξεις ότι κωδικοί πρόσβασης, ημερομηνίες γέννησης, κυβερνητικά αναγνωριστικά ή οικονομικά στοιχεία εκτέθηκαν.
Η ευαισθησία των μηνυμάτων του Canvas εντείνει την ανησυχία, καθώς η πλατφόρμα χρησιμοποιείται από φοιτητές για να αποκαλύψουν ιατρικές και ψυχικές πληροφορίες σε ακαδημαϊκούς συμβούλους, να ζητήσουν παροχές και να επικοινωνήσουν με εκπροσώπους Title IX.
Τα ιδρύματα που επηρεάστηκαν
Σύμφωνα με τους ίδιους τους δράστες, 3,65 TB δεδομένων αφορούν περίπου 275 εκατομμύρια άτομα, από ~9.000 εκπαιδευτικά ιδρύματα στη Βόρεια Αμερική, Ευρώπη, και τμήματα της Ασίας και Ωκεανίας. Η λίστα περιλαμβάνει Ivy League και κορυφαία ερευνητικά πανεπιστήμια όπως Harvard, Stanford, MIT, Columbia, Princeton, Yale και Penn State.
Το Canvas χρησιμοποιείται από το 41% των ιδρυμάτων τριτοβάθμιας εκπαίδευσης στη Βόρεια Αμερική για την παράδοση μαθημάτων, ενώ εκατομμύρια μαθητές K-12 το χρησιμοποιούν επίσης. Από την Αυστραλία, η TasTAFE (Τασμανία) επιβεβαίωσε στις 5 Μαΐου ότι τα δεδομένα φοιτητών είχαν παραβιαστεί, ενώ στις 6 Μαΐου η κυβέρνηση του Queensland επιβεβαίωσε δεκάδες χιλιάδες επηρεαζόμενους φοιτητές και εργαζόμενους.
Δεύτερη παραβίαση: Το login portal ως πεδίο μάχης
Όταν η Instructure δεν επικοινώνησε με τους ShinyHunters για να διαπραγματευτεί πληρωμή μετά τη δεύτερη επίθεση τον Απρίλιο, οι απειλητικοί παράγοντες απείλησαν να διαρρεύσουν δεδομένα κάθε σχολείου. Όταν η Instructure εξακολούθησε να μην επικοινωνεί, οι ShinyHunters επιτέθηκαν ξανά.
Χρήστες που συνδέονταν στο Canvas είδαν μήνυμα από τους ShinyHunters στο login portal. Στη συνέχεια, η αντικατεστημένη σελίδα login αντικαταστάθηκε με ανακοίνωση «scheduled maintenance». Στο μήνυμα αναφερόταν: «ShinyHunters has breached Instructure (again)» — «Αντί να επικοινωνήσουν για να το λύσουν, μας αγνόησαν και έκαναν μερικά security patches.»
Οι hackers έδωσαν deadline έως το τέλος της ημέρας στις 12 Μαΐου 2026, τόσο στα σχολεία όσο και στην Instructure, να επικοινωνήσουν για «διαπραγμάτευση».
Ιστορικό: Δεύτερη παραβίαση σε οκτώ μήνες
Τον Σεπτέμβριο του 2025, η Instructure είχε αποκαλύψει ξεχωριστή παραβίαση όπου χρησιμοποιήθηκε social engineering για να παραβιαστεί το Salesforce instance της. Τότε, η εταιρεία είπε ότι δεν είχαν προσπελαστεί δεδομένα Canvas και ότι τα εκτεθειμένα στοιχεία αφορούσαν κυρίως δημόσια επαγγελματικά contact details. Εκείνη η επιχείρηση είχε χρησιμοποιήσει voice phishing (vishing) για να εξαπατήσει υπαλλήλους να εγκρίνουν κακόβουλη εφαρμογή «Data Loader», με αποτέλεσμα — σύμφωνα με ισχυρισμούς — κλοπή 1,5 δισεκατομμυρίων εγγραφών Salesforce από ~760 οργανισμούς.
Νωρίτερα φέτος, οι ShinyHunters ισχυρίστηκαν ότι παραβίασαν το Infinite Campus — σύστημα πληροφοριών K-12 — και τον εκδότη McGraw Hill. Τον Οκτώβριο, οι hackers ισχυρίστηκαν επίσης ότι έκλεψαν πάνω από ένα δισεκατομμύριο αρχεία πελατών μέσω παραβίασης του Salesforce.
Τι πρέπει να κάνουν οι χρήστες
Ο πιο άμεσος κίνδυνος είναι το phishing. Με ονόματα, institutional emails, αριθμούς φοιτητικής ταυτότητας και περιεχόμενο μηνυμάτων
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now