Quốc hội Mỹ điều tra vụ tấn công Canvas khi Instructure trả tiền chuộc cho hacker

Quốc hội Mỹ đang gây sức ép lên công ty công nghệ giáo dục Instructure sau khi nền tảng học tập trực tuyến Canvas của họ bị tấn công dữ dội hai lần trong vòng hai tuần.

Ủy ban An ninh Nội địa Hạ viện Hoa Kỳ đã gửi thư yêu cầu CEO Steve Daly hoặc một đại diện cấp cao của Instructure phải tham gia buổi thuyết trình về các vụ tấn công này. Chủ tịch ủy ban, ông Andrew Garbarino, nhấn mạnh rằng việc gián đoạn nền tảng phục vụ hơn 30 triệu người dùng toàn cầu vào thời điểm các trường học đang tổ chức thi cuối kỳ là một vấn đề đáng lo ngại ở cấp độ quốc gia.

Thỏa thuận tiền chuộc và xóa dữ liệu

Cùng ngày với thư triệu tập từ Quốc hội, gã khổng lồ giáo dục này tuyên bố đã "đạt được thỏa thuận" với tác nhân đe dọa không được phép. Cả Instructure và nhóm hacker ShinyHunters — những kẻ nhận trách nhiệm đánh cắp dữ liệu của lên tới 275 triệu học sinh, giáo viên và nhân viên — đều xác nhận thỏa thuận này liên quan đến việc xóa toàn bộ các tệp dữ liệu bị đánh cắp.

Về cơ bản, công ty đã trả số tiền chuộc không được tiết lộ trước hạn chót thứ Ba để ngăn ShinyHunters công bố dữ liệu của 8.800 trường đại học, cao đẳng và trường K-12.

"Chúng tôi đã nhận được xác nhận kỹ thuật số về việc hủy dữ liệu (shred logs)", Instructure cho biết, đồng thời khẳng định không có khách hàng nào của Instructure sẽ bị tống tiền thêm nữa sau sự cố này.

Lỗ hổng kỹ thuật và hậu quả

Theo thông tin từ The Register, nhóm ShinyHunters đã khai thác các lỗ hổng XSS (Cross-site Scripting) trong phần mềm Canvas Free-for-Teacher. Những lỗi bảo mật này cho phép tội phạm mạng có được quyền quản trị.

Trong lần xâm nhập đầu tiên được phát hiện vào ngày 29/4, những kẻ tống tiền đã tuyên bố đánh cắp khoảng 3,6 TB dữ liệu chưa nén, bao gồm tên người dùng, địa chỉ email, tên khóa học, thông tin ghi danh và các tin nhắn.

Đến ngày 7/5, tội phạm đã quay lại tấn công hệ thống qua cùng một lỗ hổng và chèn mã JavaScript chứa yêu cầu tiền chuộc trực tiếp vào hàng trăm cổng đăng nhập của trường học. Điều này buộc Instructure phải ngừng hoạt động nền tảng trong một ngày, gây gián đoạn nghiêm trọng cho các kỳ thi cuối kỳ và thi Chương trình Nâng cao (AP) của nhiều học sinh, sinh viên.

Lịch sử bảo mật và các bước tiếp theo

Đây là sự cố bảo mật thứ hai liên quan đến ShinyHunters và Instructure trong vòng chưa đầy một năm, sau vụ tấn công môi trường Salesforce vào tháng 9/2025.

Instructure dự kiến tổ chức một buổi hội thảo trực tuyến công khai vào thứ Tư cùng với đội ngũ lãnh đạo để "cung cấp chi tiết về vụ tấn công mạng và các hoạt động củng cố hệ thống", diễn ra theo nhiều múi giờ khác nhau.