Утечка данных в Instructure/Canvas, которая в последнее время занимала центральное место в новостях о кибербезопасности, перешла на новый этап.
У миллионов студентов были похищены личные данные; группировка ShinyHunters, занимающаяся вымогательством, взяла на себя ответственность за эту утечку и усилила давление с целью получения выкупа, обратившись напрямую к пользователям Canvas.
Похоже, это принесло свои плоды. На веб-странице Instructure, посвящённой недавней утечке данных, в сообщении от 11 мая 2026 года говорится:
«Мы знаем, что опасения по поводу возможной публикации данных, связанных с этим инцидентом, по-прежнему вызывают беспокойство у многих клиентов. Мы понимаем, насколько тревожными могут быть подобные ситуации, и защита нашего сообщества остается для нас главным приоритетом».
«Учитывая эту ответственность, компания Instructure достигла соглашения с злоумышленником, причастным к данному инциденту».
Из этого следует, что компания Instructure заплатила ShinyHunters. По крайней мере часть этих денег почти наверняка пойдет на финансирование будущих киберпреступных операций. Вопрос о том, следует ли компаниям вообще платить выкуп или удовлетворять требования вымогателей, по-прежнему вызывает ожесточенные споры, и я не хочу вновь поднимать эту тему здесь.
Что я не понимаю, так это следующую фразу в обновлении:
«Данные были нам возвращены».
Хотя это, возможно, и должно звучать успокаивающе, в сфере кибербезопасности данные — это не одолженный ноутбук или потерянная папка. Однажды скопированные данные можно скопировать снова и снова.
Это имеет значение, поскольку инцидент касался не только временного доступа. Компания Instructure сообщила, что в результате несанкционированного доступа были похищены имена пользователей, адреса электронной почты, названия курсов, данные о зачислении и сообщения.
Данные нельзя просто «вернуть»
Итак, когда компания заявляет, что данные были «возвращены» и предоставлены«журналы уничтожения », на самом деле вопрос заключается не в том, остались ли у злоумышленников исходные файлы. Вопрос в том, были ли созданы копии, передавались ли эти копии и кому именно. То есть, по сути, были ли действительно устранены последующие риски, связанные с утечкой. Хотя киберпреступники такого рода, как правило, полагаются на доверие, цифровые данные не обладают гарантированной функцией отзыва.
Хорошая новость заключается в том, что, по заявлению Instructure, в утечке не фигурировали ни пароли, ни даты рождения, ни государственные идентификационные номера, ни финансовая информация. Однако имена, адреса электронной почты, сведения о курсах и личные сообщения по-прежнему достаточны для организации целенаправленных фишинговых атак и манипуляций с использованием социальной инженерии даже спустя долгое время после того, как шумиха вокруг этого инцидента уляжется.
Для учащихся и их семей по-прежнему актуальны практические советы из нашего первогоблога:
- Сброс паролей, связанных с Canvas
- По возможности включите многофакторную аутентификацию
- Следите за финансовой и кредитной деятельностью по мере взросления детей
- Будьте осторожны с фишинговыми сообщениями, в которых упоминаются реальные учебные заведения, курсы или преподаватели
Ваше имя, адрес и номер телефона, скорее всего, уже выставлены на продажу.
Брокеры данных собирают и продают ваши личные данные всем, кто готов за них заплатить. Malwarebytes Personal Data Remover их, удаляет вашу информацию и следит за тем, чтобы она оставалась в безопасности.
