Ασφάλεια
ShinyHunters vs Canvas: Χακάρισμα σε 9.000 σχολεία & πανεπιστήμια με απειλή «Πλήρωσε ή Διαρρέω»
«PAY OR LEAK»: Η απαίτηση στο dark web
Στις 3 Μαΐου, οι ShinyHunters έκαναν τη μεγάλη κίνηση: ανέβασαν την Instructure στο Tor-based extortion site τους με την απλή απειλή «PAY OR LEAK», ζητώντας πληρωμή για να μην δημοσιοποιήσουν τα κλεμμένα δεδομένα. Σύμφωνα με τους ίδιους τους hackers, έχουν κλέψει 3,65 terabytes δεδομένων — 275 εκατομμύρια εγγραφές, που περιλαμβάνουν δισεκατομμύρια ιδιωτικά μηνύματα μεταξύ φοιτητών και καθηγητών.
Αν η Instructure δεν πλήρωνε, οι hackers απείλησαν με διαρροή «αρκετών δισεκατομμυρίων ιδιωτικών μηνυμάτων μεταξύ φοιτητών-καθηγητών και φοιτητών-φοιτητών, που περιέχουν προσωπικές συνομιλίες και άλλα PII», σύμφωνα με το ransom letter που δημοσίευσε το Ransomware.live.
Τι δεδομένα εκτέθηκαν
Η Instructure επιβεβαίωσε ότι εκτέθηκαν ονόματα, email, αριθμοί φοιτητικής ταυτότητας και ιδιωτικά μηνύματα μεταξύ χρηστών. Η εταιρεία δήλωσε ότι δεν βρήκε αποδείξεις ότι κωδικοί πρόσβασης, ημερομηνίες γέννησης, κυβερνητικά αναγνωριστικά ή οικονομικά στοιχεία εκτέθηκαν.
Η ευαισθησία των μηνυμάτων του Canvas εντείνει την ανησυχία, καθώς η πλατφόρμα χρησιμοποιείται από φοιτητές για να αποκαλύψουν ιατρικές και ψυχικές πληροφορίες σε ακαδημαϊκούς συμβούλους, να ζητήσουν παροχές και να επικοινωνήσουν με εκπροσώπους Title IX.
Τα ιδρύματα που επηρεάστηκαν
Σύμφωνα με τους ίδιους τους δράστες, 3,65 TB δεδομένων αφορούν περίπου 275 εκατομμύρια άτομα, από ~9.000 εκπαιδευτικά ιδρύματα στη Βόρεια Αμερική, Ευρώπη, και τμήματα της Ασίας και Ωκεανίας. Η λίστα περιλαμβάνει Ivy League και κορυφαία ερευνητικά πανεπιστήμια όπως Harvard, Stanford, MIT, Columbia, Princeton, Yale και Penn State.
Το Canvas χρησιμοποιείται από το 41% των ιδρυμάτων τριτοβάθμιας εκπαίδευσης στη Βόρεια Αμερική για την παράδοση μαθημάτων, ενώ εκατομμύρια μαθητές K-12 το χρησιμοποιούν επίσης. Από την Αυστραλία, η TasTAFE (Τασμανία) επιβεβαίωσε στις 5 Μαΐου ότι τα δεδομένα φοιτητών είχαν παραβιαστεί, ενώ στις 6 Μαΐου η κυβέρνηση του Queensland επιβεβαίωσε δεκάδες χιλιάδες επηρεαζόμενους φοιτητές και εργαζόμενους.
Δεύτερη παραβίαση: Το login portal ως πεδίο μάχης
Όταν η Instructure δεν επικοινώνησε με τους ShinyHunters για να διαπραγματευτεί πληρωμή μετά τη δεύτερη επίθεση τον Απρίλιο, οι απειλητικοί παράγοντες απείλησαν να διαρρεύσουν δεδομένα κάθε σχολείου. Όταν η Instructure εξακολούθησε να μην επικοινωνεί, οι ShinyHunters επιτέθηκαν ξανά.
Χρήστες που συνδέονταν στο Canvas είδαν μήνυμα από τους ShinyHunters στο login portal. Στη συνέχεια, η αντικατεστημένη σελίδα login αντικαταστάθηκε με ανακοίνωση «scheduled maintenance». Στο μήνυμα αναφερόταν: «ShinyHunters has breached Instructure (again)» — «Αντί να επικοινωνήσουν για να το λύσουν, μας αγνόησαν και έκαναν μερικά security patches.»
Οι hackers έδωσαν deadline έως το τέλος της ημέρας στις 12 Μαΐου 2026, τόσο στα σχολεία όσο και στην Instructure, να επικοινωνήσουν για «διαπραγμάτευση».
Ιστορικό: Δεύτερη παραβίαση σε οκτώ μήνες
Τον Σεπτέμβριο του 2025, η Instructure είχε αποκαλύψει ξεχωριστή παραβίαση όπου χρησιμοποιήθηκε social engineering για να παραβιαστεί το Salesforce instance της. Τότε, η εταιρεία είπε ότι δεν είχαν προσπελαστεί δεδομένα Canvas και ότι τα εκτεθειμένα στοιχεία αφορούσαν κυρίως δημόσια επαγγελματικά contact details. Εκείνη η επιχείρηση είχε χρησιμοποιήσει voice phishing (vishing) για να εξαπατήσει υπαλλήλους να εγκρίνουν κακόβουλη εφαρμογή «Data Loader», με αποτέλεσμα — σύμφωνα με ισχυρισμούς — κλοπή 1,5 δισεκατομμυρίων εγγραφών Salesforce από ~760 οργανισμούς.
Νωρίτερα φέτος, οι ShinyHunters ισχυρίστηκαν ότι παραβίασαν το Infinite Campus — σύστημα πληροφοριών K-12 — και τον εκδότη McGraw Hill. Τον Οκτώβριο, οι hackers ισχυρίστηκαν επίσης ότι έκλεψαν πάνω από ένα δισεκατομμύριο αρχεία πελατών μέσω παραβίασης του Salesforce.
Τι πρέπει να κάνουν οι χρήστες
Ο πιο άμεσος κίνδυνος είναι το phishing. Με ονόματα, institutional emails, αριθμούς φοιτητικής ταυτότητας και περιεχόμενο μηνυμάτων
308
