Витоки даних

ShinyHunters стверджує про витік 275 мільйонів записів у результаті зламу Instructure

4 травня 2026 р.5 хв читання

By Джеймс Окафор — Сертифікований CIPP/E, спеціаліст із цифрових прав та права конфіденційності

ShinyHunters стверджує про витік 275 мільйонів записів у результаті зламу Instructure

ShinyHunters стверджує про викрадення 275 мільйонів записів у гіганта освітніх технологій Instructure

Компанія у сфері освітніх технологій Instructure підтвердила витік даних після того, як сумнозвісне хакерське угруповання ShinyHunters погрозило оприлюднити дані, які, за їхніми словами, були викрадені майже з 9 000 навчальних закладів. Угруповання стверджує, що отримало записи, які належать 275 мільйонам студентів, викладачів та інших осіб, що робить цей інцидент одним із найбільших витоків даних в освітньому секторі, якщо заявлене підтвердиться.

Instructure, найбільш відома завдяки широко використовуваній системі управління навчанням Canvas, ще не підтвердила публічно повний обсяг отриманого доступу. Компанія розкрила інформацію про інцидент під тиском вимог про здирництво з боку ShinyHunters — угруповання з тривалою репутацією великомасштабних крадіжок даних і публічних погроз витоком, розрахованих на те, щоб змусити організації платити викуп.

Хто такі ShinyHunters і чому це важливо

ShinyHunters — не нове ім'я у колах кібербезпеки. Угруповання пов'язують з десятками гучних зламів упродовж останніх кількох років: вони атакували компанії в роздрібній торгівлі, фінансах, охороні здоров'я та технологічному секторі. Їхній типовий підхід полягає у викраданні великих масивів користувацьких даних із подальшою погрозою опублікувати їх на форумах даркнету, якщо організація-жертва не заплатить.

Цей конкретний інцидент примітний насамперед колосальним масштабом заявленого викрадення та вразливістю постраждалих. Студенти, серед яких багато неповнолітніх, становлять особливо беззахисну групу. Освітні записи можуть містити імена, електронні адреси, ідентифікатори закладів, а в деяких випадках — більш чутливу інформацію, пов'язану з академічними або адміністративними системами. Такі дані можуть бути використані для фішингових кампаній, шахрайства з персональними даними та атак соціальної інженерії, наслідки яких можуть проявитися через місяці або навіть роки після початкового витоку.

Залучення майже 9 000 закладів також означає, що витік є широко географічно та організаційно розподіленим і охоплює школи K-12, коледжі, університети, а також, потенційно, корпоративні навчальні програми, що використовують Canvas.

Що це означає для вас

Якщо ви або ваші діти навчаєтесь у школі, коледжі чи університеті, що користується платформою Canvas від Instructure, ваші дані могли бути задіяні. На цьому етапі варто вжити кількох запобіжних заходів незалежно від того, чи отримаєте ви офіційне сповіщення.

По-перше, будьте пильні щодо фішингових спроб. Зловмисники, які отримують електронні адреси з витоків баз даних, часто надсилають цільові листи, оформлені під офіційні повідомлення від шкіл, відділів фінансової допомоги або технологічних постачальників. До будь-якого несподіваного листа з проханням перейти за посиланням, підтвердити облікові дані або оновити платіжну інформацію слід ставитися з підозрою.

По-друге, розгляньте можливість використання унікальних, надійних паролів для будь-яких акаунтів, пов'язаних із вашим навчальним закладом. Менеджер паролів спрощує керування кількома обліковими записами. Якщо пароль від облікового запису в закладі збігається з паролями в інших сервісах, змініть їх зараз.

По-третє, батьки неповнолітніх студентів повинні бути особливо уважними. Дані дітей особливо цінні для шахраїв, оскільки часто залишаються без нагляду роками, що дає зловмисникам тривале вікно для зловживань, перш ніж хтось це помітить.

Для ІТ-адміністраторів і команд безпеки навчальних закладів цей витік є нагадуванням про необхідність аудиту доступу сторонніх постачальників. Організації, що покладаються на такі платформи, як Canvas, нерідко надають їм значний доступ до інформаційних систем зі студентськими даними. Перегляд того, якими даними діляться, як вони зберігаються і які договірні зобов'язання щодо безпеки покладено на постачальників, — це не факультативна робота. Це необхідне управління ризиками.

Ширша проблема безпеки в освітньому секторі

Освіта стабільно посідає місце серед найбільш цільових секторів у звітах про витоки даних, проте також, як правило, є одним із найменш забезпечених ресурсами в питаннях бюджетів і персоналу з кібербезпеки. Школи та університети керують величезними обсягами персональних даних, нерідко працюючи на застарілій інфраструктурі, з обмеженим ІТ-персоналом і жорсткими фінансовими обмеженнями.

Злам Instructure ілюструє кумулятивний ризик, пов'язаний із централізацією даних тисяч закладів через єдину платформу. Коли ця платформа стає мішенню, радіус ураження стає колосальним. Витік, який в ізоляції міг би торкнутися одного закладу, натомість одночасно охоплює майже 9 000.

Це не аргумент проти хмарних освітніх платформ, які справді приносять реальну користь. Це аргумент на користь дотримання ними найвищих стандартів безпеки, а також на користь того, щоб заклади практикували багаторівневу безпеку — зокрема впроваджували багатофакторну аутентифікацію, мінімізували зайвий обмін даними та мали чіткі плани реагування на інциденти.

Практичні висновки

Стежте за своїми акаунтами. Відстежуйте незвичну активність входу в будь-які акаунти, пов'язані з вашою школою або університетом.
Оновіть паролі. Змініть облікові дані для акаунту Canvas та будь-яких інших сервісів, що використовують той самий пароль.
Увімкніть багатофакторну аутентифікацію у своїх освітніх акаунтах, якщо така можливість доступна.
Остерігайтесь фішингу. Будьте обережні з небажаними листами, що нібито надходять від вашого закладу або безпосередньо від Instructure.
Батьки: перевірте цифровий слід своєї дитини. Розгляньте можливість заморозки кредитної історії на номер соціального страхування неповнолітньої дитини, якщо ви перебуваєте в США, оскільки викрадені студентські дані можуть використовуватись зловмисниками роками.
Заклади: проведіть аудит доступу постачальників. Перегляньте, до яких даних мають доступ сторонні освітні платформи, і переконайтеся, що договори містять чіткі вимоги щодо безпеки та повідомлення про витоки.

Повний масштаб витоку даних Instructure ще встановлюється. У міру появи нових деталей постраждалим особам і закладам слід дотримуватись офіційних рекомендацій від Instructure та зберігати пильність. Для повного розуміння витоків такого масштабу потрібен час, однак описані вище кроки допоможуть зменшити вашу вразливість уже сьогодні.

// FAQ

Яку компанію зламали і чим вона відома?

Instructure, компанія, що стоїть за широко використовуваною системою управління навчанням Canvas, підтвердила витік. Вона обслуговує навчальні заклади, зокрема школи K-12, коледжі, університети та корпоративні навчальні програми.

Скільки записів ShinyHunters стверджують, що викрали?

ShinyHunters заявляють про викрадення 275 мільйонів записів, що належать студентам, викладачам та іншим особам із майже 9 000 навчальних закладів.

Хто такі ShinyHunters?

ShinyHunters — хакерське угруповання з тривалою репутацією великомасштабних крадіжок даних, яке атакувало компанії в роздрібній торгівлі, фінансах, охороні здоров'я та технологічному секторі. Їхній типовий підхід полягає у викраданні даних із подальшою погрозою їх опублікувати, якщо жертва не заплатить викуп.

Які типи персональних даних могли бути розкриті в результаті цього витоку?

Освітні записи, задіяні у витоку, можуть містити імена, електронні адреси, ідентифікатори закладів, а також більш чутливу інформацію, пов'язану з академічними або адміністративними системами. Ці дані можуть бути використані для фішингу, шахрайства з персональними даними та атак соціальної інженерії.

Які кроки слід вжити людям, що користуються Canvas?

Користувачам слід бути пильними щодо фішингових листів, оформлених під офіційні повідомлення від шкіл або відділів фінансової допомоги. Також варто використовувати унікальні, надійні паролі для освітніх акаунтів, в ідеалі — з допомогою менеджера паролів.