TL;DR

1 Instructure, amerykańska firma za systemem Canvas (platforma edukacyjna dla szkół i uniwersytetów), potwierdziła wyciek danych. 2 ShinyHunters twierdzi, że ukradło dane 275 milionów osób z prawie 9000 szkół na całym świecie. 3 Ujawnione dane to imiona, nazwiska, adresy e-mail, numery ID studentów i prywatne wiadomości. 4 Instructure nie znalazła dowodów wycieku haseł, dat urodzenia czy danych finansowych. Co zrobić: jeśli Twoja szkoła/uczelnia używa Canvas — zmień hasła, włącz 2FA (uwierzytelnianie dwuetapowe), poinformuj uczestników.

Co się stało

5 Instructure ogłosiła zakłócenie usługi 30 kwietnia. 6 Dzień później, 1 maja, potwierdziła, że doświadczyła incydentu cyberbezpieczeństwa. 7 W sobotę wydała oświadczenie potwierdzające, że dane osobowe użytkowników zostały ujawnione. 8 Firma pracuje z zewnętrznymi ekspertami bezpieczeństwa oraz organami ścigania.

9 Grupa hakerska ShinyHunters umieściła dane Instructure na swojej stronie wycieku. 10 3 maja przesłała 3,65 terabajta skradzionych danych na swoją platformę.

Skala wycieku

2 ShinyHunters twierdzi, że dotkniętych zostało prawie 9000 szkół na całym świecie — a w obecnie analizowanych zbiorach atakującego pojawia się nawet do 11 15 000 instytucji edukacyjnych, ministerstw oświaty i innych organizacji rozmieszczonych w Ameryce Północnej, Europie i Azji-Pacyfiku. 12 Sam zbiór zawiera ponad 240 milionów rekordów (logów, wiadomości, profili) odnoszących się do 275 milionów osób — studentów, nauczycieli i personelu. Liczba osób jest większa niż liczba rekordów, ponieważ pojedynczy użytkownik bywa wymieniony w wielu rekordach (np. jako autor i adresat).

Co dokładnie wyciekło

3 Ujawnione dane obejmują imiona i nazwiska, adresy e-mail, numery identyfikacyjne studentów oraz wiadomości między użytkownikami. 13 ShinyHunters twierdzi, że dane zawierają imiona i nazwiska studentów, adresy e-mail, zapisane kursy i prywatne wiadomości do nauczycieli. 14 Hakerzy twierdzą, że ukradli również miliardy prywatnych wiadomości między użytkownikami — w tym studentami i nauczycielami.

4 Instructure nie znalazła dowodów, że hasła, daty urodzenia, identyfikatory rządowe lub informacje finansowe zostały ujawnione — to ogranicza (choć nie eliminuje) ryzyko kradzieży tożsamości.

15 ShinyHunters twierdzi ponadto, że instancja Salesforce Instructure została również naruszona.

Wektor ataku

16 ShinyHunters twierdzi, że ukradło dane poprzez lukę w systemach Instructure, która została już naprawiona. Konkretny typ luki nie został ujawniony — ani przez hakerów, ani przez Instructure.

Wskaźniki kompromitacji i działania Instructure

17 Instructure wdrożyła łatki, zwiększyła monitorowanie i rotowała klucze aplikacji. 18 Klienci są zobowiązani do ponownego autoryzowania dostępu do API w celu wydania nowych kluczy aplikacji.

19 Instructure w dużej mierze rozwiązała problemy do 2 maja i poinformowała, że będzie nadal monitorować platformy i badać przebieg incydentu.

Co zrobić w 24-48 godzin

Dla szkół i uczelni korzystających z Canvas

  1. Zmień hasła administratorów i kluczy API — jeśli jeszcze tego nie zrobiłeś. 18 Instructure wymaga ponownej autoryzacji dostępu do API.

  2. Włącz 2FA (uwierzytelnianie dwuetapowe) na wszystkich kontach administratorów i nauczycieli. To znacznie utrudni atakującym dostęp nawet jeśli mają hasła.

  3. Poinformuj uczestników — studentów, nauczycieli, rodziców. Bądź transparentny: jakie dane wyciekły, jakie nie, co robisz.

  4. Monitoruj konta — szukaj podejrzanej aktywności, logowań z nowych lokalizacji, zmian ustawień.

  5. Skontaktuj się z Instructure — jeśli masz umowę wsparcia, upewnij się, że otrzymujesz aktualizacje bezpieczeństwa i szczegóły incydentu.

Dla użytkowników (studenci, nauczyciele)

  • Zmień hasło do Canvas, jeśli używasz go również w innych serwisach.
  • Jeśli otrzymałeś e-mail od szkoły o wycieku — przeczytaj go uważnie. Nie klikaj w linki z e-maili, które Cię o tym informują — mogą to być phishingowe podróbki.
  • Uważaj na phishing — hakerzy mogą teraz wysyłać e-maile podszywając się pod szkołę, wiedząc, że jesteś użytkownikiem Canvas.

Kontekst: ShinyHunters — seria ataków

20 ShinyHunters jest znana z zaangażowania w kilka głośnych naruszeń danych w ostatnim czasie, w tym Panera Bread, ADT, Crunchyroll, Bumble i — w kwietniu 2026 — drugiego ataku na Rockstar Games (pierwszy, GTA VI leak z 2022, przypisywany jest grupie Lapsus$ i Arionowi Kurtajowi, a nie ShinyHunters). 21 Wszystkie naruszenia danych ShinyHunters miały miejsce od początku roku.

To nie jest incydent izolowany — stanowi część szerszej kampanii. Grupa działa agresywnie i szybko.

Polski kontekst

Canvas jest używany przez polskie szkoły i uniwersytety, choć nie stanowi dominującej platformy. Każda polska instytucja edukacyjna korzystająca z Canvas powinna:

  1. Natychmiast sprawdzić status bezpieczeństwa — czy otrzymała notyfikację od Instructure.
  2. Przygotować komunikat dla uczestników — zgodnie z wymogami RODO (Rozporządzenia o Ochronie Danych Osobowych). Wyciek danych osobowych wymaga powiadomienia osób dotkniętych w rozsądnym terminie.
  3. Rozważyć audyt bezpieczeństwa — jeśli nie przeprowadzała go ostatnio. Polskie szkoły publiczne podlegają również wymogom dyrektywy NIS2 (o bezpieczeństwie sieci i informacji), której transpozycję do prawa polskiego (nowelizacja ustawy o KSC) wdrożono w 2025 r.

Źródła

Zobacz też

Footnotes

  1. Instructure to amerykańska firma technologiczna znana z opracowania Canvas, systemu zarządzania nauką używanego przez szkoły, uniwersytety i organizacje. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  2. ShinyHunters twierdzi, że prawie 9000 szkół na całym świecie zostało dotkniętych, a dane 275 milionów osób zostały ukradzione. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/ 2

  3. Ujawnione dane obejmują imiona i nazwiska, adresy e-mail, numery identyfikacyjne studentów oraz wiadomości między użytkownikami. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/ 2

  4. Instructure nie znalazła dowodów, że hasła, daty urodzenia, identyfikatory rządowe lub informacje finansowe zostały ujawnione. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/ 2

  5. Instructure ogłosiła zakłócenie usługi 30 kwietnia. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  6. 1 maja Instructure potwierdziła, że doświadczyła incydentu cyberbezpieczeństwa popełnionego przez przestępcę. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  7. W sobotę Instructure wydała oświadczenie potwierdzające, że dane osobowe użytkowników zostały ujawnione w wyniku naruszenia. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  8. Instructure ujawniła incydent cyberbezpieczeństwa w piątek i pracuje z ekspertami bezpieczeństwa trzecich stron oraz organami ścigania. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  9. ShinyHunters umieścił Instructure na swojej stronie wycieku danych. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  10. ShinyHunters przesłał 3,65 terabajta powiązanych skradzionych danych na swoją stronę internetową 3 maja. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  11. Dane pochodzące od zagrożenia wskazują, że rzekomy zbiór danych obejmuje prawie 15000 instytucji rozmieszczonych w wielu regionach geograficznych, w tym Ameryce Północnej, Europie i Azji i Pacyfiku. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  12. Dane zawierają ponad 240 milionów rekordów związanych ze studentami, nauczycielami i personelem. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  13. Zagrożenie twierdzi, że dane zawierają imiona i nazwiska studentów, adresy e-mail, zapisane kursy i prywatne wiadomości do nauczycieli. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  14. ShinyHunters twierdzi, że miliardów prywatnych wiadomości między użytkownikami, w tym studentami i nauczycielami, zostało skradzionych. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  15. ShinyHunters twierdzi, że instancja Salesforce Instructure została również naruszona i wiele innych danych jest zaangażowanych. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  16. ShinyHunters twierdzi, że ukradł dane z Instructure poprzez lukę w systemach, która została już naprawiona. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  17. Instructure wdrożyła łatki, zwiększyła monitorowanie i rotowała klucze aplikacji jako środek ostrożności. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/

  18. Klienci są zobowiązani do ponownego autoryzowania dostępu do API Instructure w celu wydania nowych kluczy aplikacji. — https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/ 2

  19. Instructure w dużej mierze rozwiązała problemy do 2 maja i poinformowała, że będzie nadal monitorować swoje platformy i badać, jak doszło do cyberataku. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  20. ShinyHunters jest znany z zaangażowania w kilka głośnych naruszeń danych w ostatnim czasie, w tym Panera Bread, ADT, Crunchyroll, Bumble i Rockstar Games. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters

  21. Wszystkie naruszenia danych ShinyHunters miały miejsce od początku roku. — https://mashable.com/article/instructure-canvas-edtech-data-breach-shinyhunters