TL;DR

  • Co się stało: Grupa cyberprzestępcza ShinyHunters przeprowadziła atak wymuszenia danych (data extortion) na popularnej platformie e-learningowej Canvas.
  • Kogo dotyczy: Potencjalnie 275 milionów studentów i wykładowców z blisko 9000 instytucji edukacyjnych na całym świecie 1. Problem dotyczy również polskich placówek, które korzystają z tej platformy.
  • Co skradziono: Według dostawcy, potwierdzony wyciek obejmuje dane identyfikacyjne takie jak imiona, adresy e-mail, numery ID studentów oraz treść wiadomości między użytkownikami 2.
  • Jaki jest status: Atak spowodował zakłócenia w dostępie do usługi 3. Dostawca, firma Instructure, przywrócił działanie dla większości użytkowników 4, ale sytuacja pozostaje napięta.
  • Co robić TERAZ: Użytkownicy platformy powinni zachować maksymalną czujność wobec prób phishingu. Administratorzy IT na uczelniach muszą monitorować komunikaty od dostawcy i przygotować plany komunikacji kryzysowej.

W skrócie: popularna platforma edukacyjna Canvas padła ofiarą ataku grupy ShinyHunters. Atakujący twierdzą, że są w posiadaniu danych 275 milionów użytkowników 1 i żądają okupu. W odpowiedzi na eskalację, dostawca tymczasowo wyłączył usługę 5, powodując chaos w pracy uczelni 3.

Wektor ataku

Zaobserwowaliśmy wieloetapowy atak na infrastrukturę firmy Instructure, operatora platformy edukacyjnej (LMS, Learning Management System) Canvas. Incydent zakłócił pracę szkół i uniwersytetów w Stanach Zjednoczonych 3, paraliżując dostęp do materiałów kursowych i komunikacji w gorącym okresie końcoworocznym.

Do ataku przyznała się grupa cyberprzestępcza znana jako ShinyHunters 6. Eskalacja nastąpiła, gdy na stronie logowania do serwisu Canvas pojawiło się żądanie okupu 1. Operatorzy zagrozili opublikowaniem danych należących rzekomo do 275 milionów studentów i pracowników naukowych z prawie 9000 instytucji edukacyjnych, jeśli ich żądania finansowe nie zostaną spełnione 1.

Firma Instructure, właściciel platformy, oficjalnie potwierdziła naruszenie bezpieczeństwa danych 6. W oświadczeniu z 6 maja 2 firma sprecyzowała, że skradzione informacje obejmują:

  • imiona i nazwiska,
  • adresy e-mail,
  • numery identyfikacyjne studentów,
  • a także treść prywatnych wiadomości wymienianych wewnątrz platformy.

Jednocześnie Instructure oświadczyło, że nie znaleziono dowodów na kompromitację bardziej wrażliwych danych, takich jak hasła, daty urodzenia, numery dokumentów tożsamości czy informacje finansowe 7. Należy jednak podchodzić do takich zapewnień z ograniczonym zaufaniem do czasu publikacji pełnego raportu technicznego.

Reakcją dostawcy na zbezczeszczenie strony logowania (defacement) było tymczasowe wyłączenie całej platformy 5, co miało na celu powstrzymanie dalszej nieautoryzowanej aktywności. Chociaż usługa została później przywrócona dla większości użytkowników 4, niektóre uniwersytety wciąż zgłaszały problemy z dostępem.

Cały incydent ma charakter ataku wymuszenia danych (data extortion), a nie klasycznego ransomware, gdzie dane są szyfrowane. Tutaj główną dźwignią szantażu jest groźba upublicznienia skradzionych informacji. Termin zapłaty okupu był początkowo wyznaczony na 6 maja, a następnie został przesunięty na 12 maja 8.

Wskaźniki kompromitacji

Na chwilę publikacji tego alertu ani firma Instructure, ani badacze bezpieczeństwa nie udostępnili publicznie technicznych wskaźników kompromitacji (IoC, Indicators of Compromise), takich jak adresy IP serwerów C2 (Command and Control), hashe złośliwego oprogramowania czy domen użytych w ataku. Ich brak utrudnia proaktywne poszukiwanie zagrożeń (threat hunting) w sieciach korporacyjnych i akademickich.

Co zrobić w 24-48h

Incydent na taką skalę ma bezpośrednie przełożenie na bezpieczeństwo polskich użytkowników i instytucji. Rekomendowane podejście zakłada działanie na trzech poziomach.

Dla studentów i wykładowców (w Polsce i za granicą):

  1. Weryfikacja i komunikaty: Sprawdź, czy Twoja uczelnia korzysta z platformy Canvas. Śledź oficjalne komunikaty wydawane przez władze uczelni lub dział IT. Nie polegaj na informacjach z niezweryfikowanych źródeł.
  2. Maksymalna czujność na phishing: Skradzione dane – imię, nazwisko, uczelniany e-mail, numer albumu 2 – to idealny zestaw do tworzenia wysoce spersonalizowanych i wiarygodnych wiadomości phishingowych. Spodziewamy się fali maili podszywających się pod dziekanat, wykładowców, dział IT czy samego operatora Canvas. Celem może być wyłudzenie haseł do innych systemów (poczta, USOS, bankowość) lub infekcja komputera. Każdy nieoczekiwany e-mail z prośbą o logowanie, pobranie załącznika czy podanie danych traktuj jako podejrzany.
  3. Higiena haseł i 2FA: Mimo że Instructure twierdzi, że hasła nie wyciekły 7, zalecamy prewencyjną zmianę hasła do platformy Canvas. Co ważniejsze, jeśli platforma oferuje uwierzytelnianie dwuetapowe (2FA, np. przez aplikację typu Google Authenticator), warto je włączyć. To kluczowa bariera ochronna.

Dla administratorów IT na polskich uczelniach:

  1. Komunikacja kryzysowa: Jeśli Wasza instytucja korzysta z Canvas, niezbędne jest natychmiastowe wdrożenie planu komunikacji. Poinformujcie użytkowników o zagrożeniu, skali wycieku i konkretnych krokach, jakie powinni podjąć (zwłaszcza w kontekście phishingu). Nawet jeśli nie używacie Canvas, incydent jest doskonałą okazją do przeprowadzenia kampanii uświadamiającej na temat phishingu i bezpieczeństwa kont.
  2. Monitoring i współpraca z dostawcą: Utrzymuj stały kontakt z supportem technicznym Instructure w celu uzyskania najnowszych informacji i ewentualnych zaleceń. Jeśli macie taką możliwość, przeanalizujcie logi dostępowe do Waszej instancji Canvas w poszukiwaniu anomalii.
  3. Przegląd planów ciągłości działania (BCP): Ten atak brutalnie pokazuje ryzyko związane z uzależnieniem krytycznych procesów edukacyjnych od jednego dostawcy SaaS. To dobry moment na weryfikację planów BCP/DRP. Powyższe rekomendacje stanowią sugerowane podejście i nie zastępują profesjonalnej konsultacji z zakresu cyberbezpieczeństwa ani oficjalnych zaleceń producenta oprogramowania.

Atrybucja

Odpowiedzialność za atak publicznie wzięła na siebie grupa cyberprzestępcza ShinyHunters 6. Jest to znany operator specjalizujący się w kradzieży i sprzedaży dużych baz danych na forach przestępczych. Ich pojawienie się w kontekście tego incydentu uwiarygadnia groźbę masowego wycieku danych.

Źródła

Zobacz też

Footnotes

  1. Grupa cyberprzestępcza zbezcześciła stronę logowania Canvas żądaniem okupu, grożąc wyciekiem danych 275 milionów studentów i wykładowców z prawie 9 000 instytucji edukacyjnych. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2 3 4

  2. W oświadczeniu z 6 maja Instructure podało, że skradzione informacje obejmują „pewne dane identyfikacyjne użytkowników w dotkniętych instytucjach, takie jak imiona, adresy e-mail i numery identyfikacyjne studentów, a także wiadomości między użytkownikami”. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2 3

  3. Atak spowodował zakłócenia w dostępie do platformy Canvas w szkołach i uczelniach w Stanach Zjednoczonych, w gorącym okresie sesji końcoworocznej. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2 3

  4. Po tymczasowym wyłączeniu platformy 7 maja Instructure przywróciło normalne działanie usługi Canvas. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2

  5. Instructure, firma macierzysta Canvas, zareagowała na ataki poprzez wyłączenie platformy. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2

  6. Instructure potwierdziło naruszenie danych wcześniej w tym tygodniu, po tym jak grupa ShinyHunters wzięła odpowiedzialność i zagroziła wyciekiem danych milionów studentów i wykładowców, jeśli nie zostanie zapłacony okup. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2 3

  7. Firma Instructure stwierdziła, że nie znaleziono dowodów na to, że naruszone dane zawierały bardziej wrażliwe informacje, takie jak hasła, daty urodzenia, identyfikatory rządowe lub informacje finansowe. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/ 2

  8. Początkowy termin płatności okupu został ustalony na 6 maja, ale później przesunięto go na 12 maja. — https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/