В четверг по всей территории США в университетах и школах вспыхнул хаос: кибератака парализовала работу образовательной платформы Кэнвас (Canvas) как раз в разгар сессии, когда студенты готовились к экзаменам.

Компания Instructure, владеющая Кэнвас, заявила, что к утру пятницы платформа снова заработала. В целях безопасности она была временно отключена в четверг после обнаружения подозрительной активности в сети. Как оказалось, за атакой стоит тот же злоумышленник, который неделю назад уже проник в систему компании. В утечку попали имена пользователей, адреса электронной почты, номера студенческих билетов и переписка в рамках платформы. Однако компания утверждает, что пароли, даты рождения, данные паспортов и финансовая информация не были скомпрометированы.

Кто стоит за атакой

Ответственность за взлом взяла на себя группа ShinyHunters, известная своими атаками в даркнете. В своём сообщении они заявили, что получили данные 275 миллионов человек из 8800 учебных заведений.

Во время попыток студентов сдать экзамены на странице входа в Кэнвас появилось требование выкупа. В нём говорилось, что Instructure отказалась выполнять предыдущие требования хакеров, и теперь предлагала вузам вести переговоры напрямую. Это сообщение, вместе с масштабным сбоем, вызвало панику в учебных заведениях.

Так, Иллинойсский университет перенёс все экзамены и дедлайны на пятницу, субботу и воскресенье. Университет Массачусетса в Дартмуте продлил сроки сдачи заданий. А система Калифорнийского университета призвала все кампусы временно отказаться от платформы.

Не первый случай

Кэнвас — не единственная образовательная платформа, ставшая мишенью хакеров. В прошлом году компания PowerSchool, предоставляющая облачные решения для 60 миллионов школьников из 16 тысяч школ по всему миру, сообщила об утечке, в результате которой оказались скомпрометированы имена, адреса и даже данные о дисциплинарных взысканиях.

Группа ShinyHunters действует уже несколько лет как расплывчатое сообщество. В 2024 году она похитила массив учётных данных у облачного провайдера Snowflake и использовала их для взлома клиентов этой компании — в их числе был и сервис TicketMaster.

Chaos erupted at schools and colleges throughout the US on Thursday as a cyberattack disrupted online learning platform Canvas just as students were due to take final exams.

Canvas parent company Instructuresaidthat as of Friday morning, the platform was back online. Instructure said it temporarily took Canvas offline on Thursday after identifying unauthorized activity in its network. The threat actor was the same one responsible for a data breach that Instructurediscloseda week ago. Data accessed included user names, email addresses, student ID numbers, and messages exchanged on the platform. The company said it has no indication that passwords, dates of birth, government identifiers, or financial information were involved.

Schools and colleges scramble

A ransomware group known as ShinyHunters claimed responsibility for the breach on its dark web site. It claimed the data it took came from 275 million people associated with 8,800 schools.

As students were trying to prepare for and take final exams Thursday, Canvas login pages displayed a ransom demand. It said Instructure had rebuffed the group’s earlier demands and encouraged individual schools to negotiate directly with them. The note and the outage sent schools and colleges scrambling. The University of Illinoisreportedlypostponed all final exams and assignments scheduled for Friday, Saturday, and Sunday. The University of Massachusetts Dartmouthrescheduledor extended due dates for exams. The University of California system directed all its campuses tolinkword.

Canvas isn’t the only learning platform to be struck by a cyberattack. Last year,PowerSchool, a firm that provides cloud-based software to 60 million students from 16,000 K–12 schools worldwide, disclosed a breach that exposed years’ worth of sensitive data, including names, addresses, and disciplinary records.

ShinyHunters has operated for years as a loose collective. In 2024, it made off with a trove of credentials and other data from cloud storage provider Snowflake and used it in follow-on breaches of Snowflake customers, includingTicketMaster.