Pod koniec kwietnia 2026 firma Instructure — producent platformy Canvas LMS, najczęściej spotykanego systemu do nauczania zdalnego w środowisku akademickim — wykryła incydent bezpieczeństwa, który 5 maja przerodził się w jedno z największych szkolnych włamań ostatnich lat. Na liście ofiar po publikacji w darknecie znalazło się około 275 milionów użytkowników z blisko 9 tysięcy szkół i uczelni z całego świata, a grupa ShinyHunters chwali się wyciekiem 3,65 TB danych. Instructure oficjalnie potwierdziło incydent i przeznaczyło tygodniowy weekend na rotację kluczy oraz unieważnienie poświadczeń uprzywilejowanych. Atakujący ze swojej strony postawili termin: do 6 maja firma ma się skontaktować, w przeciwnym razie wykradzione dane wylądują na shadow markecie.
Co dokładnie wyciekło
Instructure twierdzi, że dotychczasowa analiza nie wykazała kompromitacji haseł, dat urodzenia, identyfikatorów rządowych ani danych finansowych. Wyciek obejmuje natomiast imiona i nazwiska, adresy e-mail, identyfikatory studenckie oraz wiadomości wymieniane między użytkownikami platformy. To ostatnie jest najbardziej kłopotliwe — w Canvas studenci pisali do prowadzących, prowadzący do studentów, a obie strony często wymieniały informacje o pracach zaliczeniowych, problemach zdrowotnych usprawiedliwiających nieobecności, a czasem także o sprawach pozaakademickich. ShinyHunters chwali się zdobyciem „kilku miliardów” prywatnych wiadomości i to właśnie one są w tym wycieku najbardziej wrażliwe.
Sam Canvas LMS to nie aplikacja niszowa. Z platformy korzystają zarówno wielkie amerykańskie uniwersytety, jak i międzynarodowe ośrodki edukacyjne; produkt obecny jest też w Polsce — niektóre uczelnie używają go obok Moodle albo zamiast niego, a wiele kursów wymiany Erasmus oraz programów MBA prowadzonych jest właśnie przez Canvas. Skala 275 milionów rekordów odpowiada w przybliżeniu wszystkim aktywnym kontom systemu, czyli niemal każdemu, kto w ostatnich latach zdawał egzamin lub oddawał pracę przez ten panel.
Schemat ataku ShinyHunters
ShinyHunters to grupa kojarzona dziś przede wszystkim z aktywnymi kampaniami eksfiltracji danych z chmury i publikowaniem ich na portalu typu „pay or leak”. Dokładny wektor wejścia w przypadku Instructure nie został publicznie ujawniony, ale firma przyznaje, że pierwszym objawem incydentu były zakłócenia w działaniu narzędzi opartych na kluczach API, co sugeruje uzyskanie przez napastnika dostępu do tokenów uprzywilejowanych. Po wykryciu Instructure unieważniło poświadczenia oraz tokeny powiązane z kompromitowanymi systemami i sprowadziło zewnętrzny zespół forensyczny.
Modus operandi grupy jest dość przewidywalny: po cichej eksfiltracji następuje publiczne ogłoszenie z odliczaniem na portalu, próba wymuszenia okupu, a w razie braku zapłaty publikacja całości na forum przestępczym albo dystrybucja przez Telegram. Termin 6 maja to klasyczny element tego scenariusza — ma wytworzyć presję czasu i skłonić ofiarę do negocjacji w trybie awaryjnym.
Dlaczego to ważne dla osób w Polsce
Nawet jeśli nigdy nie logowałeś się do Canvas pod tą nazwą, twoja uczelnia mogła używać go jako instancji marki własnej — Canvas często działa pod subdomeną typu canvas.uczelnia.edu.pl albo podobną. Jeżeli korespondowałeś przez tę platformę, twój adres e-mail, imię i nazwisko oraz potencjalnie treść tej korespondencji mogą być częścią paczki ShinyHunters. To stwarza dwa konkretne ryzyka: po pierwsze, baza adresów może zostać użyta do ukierunkowanego phishingu, w którym napastnik podszyje się pod prowadzącego lub dziekanat. Po drugie, treść wiadomości może być wykorzystana do socjotechniki — jeśli atakujący wie, kiedy zdawałeś egzamin, jak nazywał się przedmiot i kto był prowadzącym, łatwo o wiarygodny scam pod hasłem „brakuje punktów do zaliczenia, opłać tu”.
Co zrobić jako student lub pracownik uczelni
Po pierwsze, zmień hasło do konta Canvas oraz dowolnego konta, które miało wspólne hasło z uczelnianym e-mailem — Instructure twierdzi, że hasła nie wyciekły, ale rotacja jest zawsze tania w stosunku do potencjalnej szkody. Po drugie, włącz dwuskładnikowe uwierzytelnianie tam, gdzie tylko się da, ze szczególnym uwzględnieniem konta uczelnianego, prywatnej skrzynki Gmail oraz mediów społecznościowych. Po trzecie, traktuj z największą podejrzliwością każde maile podszywające się pod uczelnię — zwłaszcza te z linkami do logowania, prośbami o przelew, fakturami za studia, dyplomy, certyfikaty czy kursy językowe. Sprawdzaj nadawcę w pełnej formie, a w razie wątpliwości potwierdź zamiar telefonicznie z dziekanatem.
Po czwarte, przejrzyj dawne rozmowy w Canvas — jeżeli pisałeś tam coś, co dziś jest niewygodne (informacje o stanie zdrowia, sprawach rodzinnych, konfliktach z prowadzącym), miej świadomość, że ta treść może wkrótce być publicznie dostępna. To moment, żeby ostrzec adresatów rozmów, zwłaszcza jeżeli w wymianie były dane wrażliwe.
Dla administracji uczelni
Jeżeli zarządzasz instancją Canvas, sprawdź log dostępu kluczy API i zrotuj wszystkie tokeny, które miały kontakt z platformą Instructure w ostatnich dwunastu miesiącach. Powiadom inspektora ochrony danych — w świetle RODO incydent w łańcuchu dostawców uruchamia obowiązek analizy ryzyka i, w wielu przypadkach, zgłoszenia do UODO w ciągu 72 godzin od dowiedzenia się o naruszeniu. Przygotuj komunikat do studentów; im wcześniej, tym lepiej, bo komunikat oficjalnej uczelni zawsze wygra z plotką w mediach społecznościowych.
Podsumowanie
Sprawa Instructure to klasyczny przykład ryzyka koncentracji w SaaS-ach edukacyjnych — jedna platforma obsługuje setki milionów osób na całym świecie, więc jedno udane włamanie ma natychmiast skalę katastrofy. ShinyHunters znowu pokazuje, że dane nie muszą być finansowe, żeby być wartościowe: wiadomości prywatne, listy studentów i powiązania z konkretną uczelnią są walutą rynku phishingu i wymuszeń. Najbliższe tygodnie pokażą, czy Instructure zdecyduje się zapłacić, czy też dane rzeczywiście wylądują w domenie publicznej, ale niezależnie od decyzji firmy, każdy użytkownik Canvas powinien już dziś zachowywać się tak, jakby wyciek był pewny — bo dla większości ofiar tego typu spraw, niestety, jest.