Công ty công nghệ giáo dục Mỹ Instructure, công ty mẹ của Canvas, cho biết họ đã đạt được một "thỏa thuận" với một nhóm tống tiền tội phạm mạng sau khi hệ thống bị xâm nhập và bị đe dọa rò rỉ thông tin đánh cắp từ hàng nghìn trường học và đại học.
Trong một bản cập nhật được chia sẻ vào thứ Hai, công ty có trụ sở tại Utah cho biết họ "đã đạt được thỏa thuận với tác nhân trái phép liên quan đến sự cố này", viện dẫn "những lo ngại về khả năng dữ liệu bị công bố".
Khi đưa ra quyết định gây tranh cãi là trả tiền chuộc để tránh rò rỉ, công ty cho biết thỏa thuận này bao quát tất cả các khách hàng bị ảnh hưởng và dữ liệu bị đánh cắp đã được trả lại, cùng với xác nhận kỹ thuật số về việc hủy dữ liệu. Công ty cũng cho biết họ đã được thông báo rằng không có khách hàng nào của công ty sẽ bị tống tiền riêng lẻ do hậu quả của vụ tấn công này.
"Mặc dù không bao giờ có sự chắc chắn tuyệt đối khi đối phó với tội phạm mạng, chúng tôi tin rằng việc thực hiện mọi bước trong khả năng kiểm soát để mang lại sự an tâm bổ sung cho khách hàng trong phạm vi có thể là điều quan trọng," Instructure cho biết.
Công ty cũng cho biết họ đang làm việc với các đơn vị chuyên gia để hỗ trợ phân tích pháp y, cải thiện tình trạng an ninh mạng và tiến hành đánh giá toàn diện các dữ liệu liên quan.
Quy mô vụ tấn công của ShinyHunters
Tiết lộ này được đưa ra khi nhóm tống tiền ShinyHunters thực hiện một cuộc tấn công kỹ thuật số nhắm vào Canvas, một hệ thống quản lý học tập trực tuyến phổ biến, vào cuối tháng trước, dẫn đến việc mất cắp 3,65TB dữ liệu. Sự cố này đã ảnh hưởng đến gần 9.000 tổ chức.
Mặc dù ban đầu vụ xâm nhập được cho là đã được khống chế, nhưng đợt hoạt động trái phép thứ hai liên quan đến cùng một sự cố đã được phát hiện vào ngày 7 tháng 5 năm 2026. Nhóm tấn công đã thay đổi giao diện cổng đăng nhập Canvas bằng các thông điệp tống tiền tại khoảng 330 tổ chức và đặt thời hạn cho Instructure đến ngày 12 tháng 5 năm 2026 để đàm phán tiền chuộc, nếu không sẽ đối mặt với rò rỉ dữ liệu.
Lỗ hổng và dữ liệu bị đánh cắp
Các kẻ tấn công được cho là đã khai thác một lỗ hổng chưa xác định "liên quan đến vé hỗ trợ (support tickets)" trong môi trường Free-for-Teacher để có quyền truy cập ban đầu và rút trích khoảng 275 triệu hồ sơ chứa tên người dùng, địa chỉ email, tên khóa học, thông tin đăng ký và tin nhắn. Instructure nhấn mạnh rằng nội dung khóa học, bài nộp và thông tin xác thực (credentials) không bị xâm phạm.
Sau vụ việc, Instructure đã tạm thời đóng các tài khoản Free-for-Teacher. Công ty không tiết lộ bản chất của lỗ hổng, nhưng cho biết đã thu hồi các thông tin xác thực đặc quyền và các token truy cập cho các hệ thống bị ảnh hưởng, thay đổi các khóa nội bộ, hạn chế các đường dẫn tạo token và triển khai thêm các biện pháp kiểm soát an ninh.
Cảnh báo về các chiến dịch Phishing tiếp theo
Halcyon nhận định: "Dữ liệu bị rò rỉ cung cấp cho các tác nhân đe dọa đủ thông tin cá nhân để thực hiện các chiến dịch phishing có mục tiêu chống lại nhân viên, sinh viên và phụ huynh."
"Các hồ sơ bị rò rỉ có thể được sử dụng để mạo danh quản trị viên trường học, bộ phận hỗ trợ IT hoặc văn phòng hỗ trợ tài chính trong các cuộc tấn công tiếp theo. Sinh viên, phụ huynh và nhân viên tại các cơ sở bị ảnh hưởng cần được lưu ý, và các tổ chức nên ban hành các khuyến cáo về phishing và liên lạc trực tiếp ngay lập tức."
