ShinyHunters đặt hạn chót "trả tiền hoặc rò rỉ" dữ liệu, Instructure xác nhận hai lỗ hổng bảo mật trên Canvas

ShinyHunters đặt hạn chót "trả tiền hoặc rò rỉ" dữ liệu, Instructure xác nhận hai lỗ hổng bảo mật trên Canvas

Tập đoàn công nghệ giáo dục Instructure mới đây đã xác nhận hai đợt truy cập trái phép xảy ra trong vòng hai tuần qua trên nền tảng học tập trực tuyến Canvas của mình. Sự việc diễn ra trong bối cảnh nhóm tội phạm mạng ShinyHunters đe dọa sẽ công bố dữ liệu của hơn 275 triệu sinh viên, giáo viên và nhân viên thuộc gần 9.000 trường học trên toàn thế giới.

Trong một bản cập nhật về sự cố an ninh, Instructure đã xin lỗi về sự gián đoạn khi Canvas bị ngoại tuyến vào thứ Năm tuần trước. Sự cố này đã khiến hàng nghìn trường đại học, cao đẳng và trường phổ thông không thể truy cập vào tài liệu khóa học, điểm số và hạn nộp bài vào thời điểm diễn ra kỳ thi cuối kỳ và thi Chương trình Nâng cao (AP).

Tính đến thứ Bảy, công ty mẹ tuyên bố rằng "Canvas đã hoàn toàn trực tuyến trở lại và sẵn sàng sử dụng".

Chi tiết về hai lỗ hổng bảo mật

Đến thứ Hai, Instructure mới chính thức lên tiếng về những gì đã xảy ra, thừa nhận không chỉ một mà là hai lần xâm nhập. Tội phạm đã khai thác một lỗ hổng bảo mật trong hệ thống "Free-for-Teacher" (Miễn phí cho giáo viên) của nền tảng này. Theo đó, những kẻ đánh cắp dữ liệu đã lấy được thông tin bao gồm tên người dùng, địa chỉ email, tên khóa học, thông tin ghi danh và các tin nhắn.

"Dữ liệu học tập cốt lõi (nội dung khóa học, bài nộp, thông tin xác thực) không bị xâm phạm," bản công bố ngày thứ Hai cho biết. "Chúng tôi vẫn đang xác thực tất cả các phát hiện, nhưng chúng tôi muốn rõ ràng về những gì chúng tôi hiểu là đã bị ảnh hưởng và những gì không."

Theo thông báo trên trang web của Instructure, vào ngày 29 tháng 4, công ty giáo dục trực tuyến này đã "phát hiện hoạt động trái phép trong Canvas", ngay lập tức thu hồi quyền truy cập của kẻ xâm nhập và khởi động cuộc điều tra về vụ vi phạm.

Đến ngày 7 tháng 5, công ty đã "xác định thêm hoạt động trái phép liên quan đến cùng một sự cố". ShinyHunters đã làm giả giao diện đăng nhập của khoảng 330 cổng trường học Canvas, cũng khai thác cùng một lỗ hổng trong hệ thống Free-for-Teacher. Điều này đã buộc công ty công nghệ giáo dục phải đưa Canvas vào chế độ ngoại tuyến và "chế độ bảo trì để ngăn chặn hoạt động này".

Thời hạn đe dọa và yêu cầu tiền chuộc

ShinyHunters tuyên bố đã đánh cắp 3,65 TB dữ liệu, bao gồm khoảng 275 triệu bản ghi từ khoảng 8.800 trường học, trong đó có các trường đại học danh tiếng như Harvard, Columbia, Rutgers, Georgetown và Stanford.

Sau nhiều lần thay đổi hạn chót cho yêu cầu "trả tiền hoặc rò rỉ", ShinyHunters đã đặt ra hạn chót cuối cùng là cuối ngày 12 tháng 5. Nhóm này yêu cầu các cơ sở giáo dục phải liên hệ trực tiếp với họ để đàm phán thanh toán, nếu không họ sẽ công bố toàn bộ bộ dữ liệu.

Các biện pháp ứng phó

Trước tình hình đó, Instructure cho biết họ đã tạm thời đóng các tài khoản Free-for-Teacher. Công ty cũng đã thu hồi thông tin xác thực đặc quyền và mã thông báo truy cập liên quan đến các hệ thống bị xâm phạm, xoay vòng các khóa nội bộ, hạn chế các đường dẫn tạo mã thông báo và tăng cường giám sát trên tất cả các nền tảng.

Nền tảng giáo dục này đã thuê CrowdStrike để hỗ trợ phân tích pháp y và phản ứng sự cố, đồng thời cho biết họ cũng đã thông báo cho Cục Điều tra Liên bang Mỹ (FBI) - cơ quan đã đăng tải cảnh báo riêng trên mạng xã hội - và Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA).

Đây là vụ vi phạm thứ hai của Instructure trong vòng chưa đầy một năm. ShinyHunters từng tuyên bố đã xâm nhập môi trường Salesforce của Instructure vào tháng 9 năm 2025. Mặc dù Instructure không nêu tên nhóm này trong bản công bố mới nhất, nhưng họ đã đề cập đến vụ xâm nhập trước đó.

"Vụ việc liên quan đến Salesforce trước đây và vụ sự cố bảo mật Canvas này là hai sự kiện riêng biệt liên quan đến các hệ thống và hoàn cảnh khác nhau," công ty khẳng định.