بسته شواهد: چگونه اینستراکچر پس از نشت تاریخی ۲۷۵ میلیون رکورد Canvas باج پرداخت کرد
در پی یک حمله سایبری گسترده توسط گروه باجگیری ShinyHunters، شرکت اینستراکچر (اپراتور Canvas) برای اطمینان از حذف ۳.۶۵ ترابایت داده دانشجویان و اساتید، باج پرداخت کرد. این بسته شواهد، مکانیسمهای این نفوذ، اطلاعات مربوط به عوامل تهدید و خطرات مداوم فیشینگ هدفمند را بررسی میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- کارشناسان امنیت سایبری
- متخصصان امنیتی قویاً پرداخت باج را توصیه نمیکنند و «گزارشهای حذف» را بیمعنی میدانند.
- تحلیلگران اطلاعات تهدید
- تحلیلگران بر ارزش اطلاعاتی بلندمدت دادههای استخراج شده برای حملات مهندسی اجتماعی آینده تمرکز دارند.
- مؤسسات متأثر
- دانشگاهها و مدارس، تداوم عملیاتی فوری و حفاظت از دانشجویان آسیبپذیر را در اولویت قرار میدهند.
- مشاوران حقوقی و نظارتی
- کارشناسان حقوقی بر مسئولیت آبشاری، تعهدات انطباق و خطرات دعاوی جمعی ناشی از نفوذ تأکید میکنند.
زوایای پوششدادهنشده
- · دانشجویانی که پیامهای خصوصیشان افشا شده است
- · مدیران مناطق آموزش و پرورش (K-12)
چرا مهم است
به خطر افتادن ۲۷۵ میلیون رکورد دانشجویی، شکنندگی پلتفرمهای آموزشی متمرکز را آشکار میسازد و گنجینهای بیسابقه از اطلاعات شخصی را برای حملات فیشینگ هدفمند آتی در اختیار مجرمان سایبری قرار میدهد. تصمیم اینستراکچر برای پرداخت باج همچنین فشار عظیمی را که فروشندگان فناوری هنگام گروگان گرفته شدن دادههای حساس کاربران با آن مواجه هستند، برجسته میکند.
نکات کلیدی
- گروه باجگیری ShinyHunters به پلتفرم Canvas شرکت اینستراکچر نفوذ کرد و ۳.۶۵ ترابایت داده از ۲۷۵ میلیون کاربر را استخراج نمود.
- دادههای سرقت شده شامل نامها، آدرسهای ایمیل، ثبتنامهای درسی و پیامهای خصوصی است، اگرچه رمزهای عبور و دادههای مالی ظاهراً امن ماندهاند.
- اینستراکچر برای جلوگیری از انتشار عمومی دادهها، باجی را که شایعه شده ۱۰ میلیون دلار بوده، پرداخت کرد.
- کارشناسان امنیت سایبری هشدار میدهند که «گزارشهای حذف» (shred logs) ارائه شده توسط هکرها، هیچ تضمین قابل تأییدی مبنی بر اینکه دادهها واقعاً از بین رفتهاند، ارائه نمیدهند.
شواهد نشان میدهد که نفوذ آوریل ۲۰۲۶ به پلتفرم Canvas شرکت اینستراکچر، بزرگترین نشت فناوری آموزشی ثبت شده در تاریخ است. گروه باجگیری ShinyHunters تقریباً ۳.۶۵ ترابایت داده را که شامل ۲۷۵ میلیون رکورد کاربری در نزدیک به ۹۰۰۰ مؤسسه جهانی بود، استخراج کرد. حجم عظیم این دادهها، که شامل پیامهای خصوصی و جزئیات ثبتنام است، فرصتی بیسابقه برای جمعآوری اطلاعات توسط مجرمان سایبری با هدف قرار دادن بخش دانشگاهی فراهم میکند.[1][4][5][7]
تحلیلگران اطلاعات تهدید، این حمله را به ShinyHunters، یک سندیکای باجگیری غیرمتمرکز که از سال ۲۰۲۰ فعال است، نسبت میدهند. محققانی که این گروه را ردیابی میکنند، تخصص آنها را در نفوذ به زنجیره تأمین و پلتفرمهای متمرکز ذکر میکنند. این گروه قبلاً در سپتامبر ۲۰۲۵ به محیط Salesforce شرکت اینستراکچر نیز نفوذ کرده بود، که نشاندهنده تمرکز عملیاتی مداوم بر این غول فناوری آموزشی و شبکه گسترده مشتریان سازمانی آن است.[4][8]
شواهد پزشکی قانونی به آسیبپذیری در محیط «رایگان برای معلم» (Free-for-Teacher) Canvas به عنوان بردار دسترسی اولیه اشاره دارد. طبق افشای حوادث، مهاجمان در ۲۵ آوریل ۲۰۲۶ از یک نقص نامشخص مرتبط با تیکتهای پشتیبانی برای ورود استفاده کردند. این بردار به عوامل تهدید اجازه داد تا کنترلهای امنیتی اصلی سازمانی را دور زده و به سیستمهای تولیدی گستردهتر نفوذ کنند، که خطرات نگهداری سطوح قدیمی یا رایگان در مجاورت زیرساخت اصلی را برجسته میسازد.[1][7]
دادههای تلهمتری اینستراکچر نشان میدهد که این شرکت نفوذ را در ۲۹ آوریل شناسایی کرده و دسترسی غیرمجاز را لغو و وصلههای امنیتی را تا ۳۰ آوریل اعمال کرده است. با این حال، شواهد مهار نفوذ زودرس بود. در ۷ مه، عوامل تهدید از یک آسیبپذیری ثانویه سوءاستفاده کردند تا مجدداً وارد سیستم شوند و پورتالهای ورود Canvas را در حدود ۳۳۰ مؤسسه، از جمله دانشگاه پنسیلوانیا و دانشگاه هاروارد، به صورت عمومی تخریب کردند.[1][6][7][8]
تکرار نفوذ در ۷ مه، حادثه را از یک سرقت پنهانی داده به یک کمپین باجگیری بسیار علنی تبدیل کرد. عوامل تهدید، صفحات استاندارد ورود دانشگاهها را با یک پیام باجخواهی جایگزین کردند و از اینستراکچر خواستند تا ۱۲ مه برای توافق مذاکره کند یا با نشت گسترده دادهها مواجه شود. این تاکتیک که در طول دوره حساس امتحانات نهایی بسیاری از دانشگاههای آمریکای شمالی اجرا شد، فشار عملیاتی بر اینستراکچر و مشتریان سازمانی آن را به حداکثر رساند.[3][6][7]
اگرچه اینستراکچر هیچ مدرکی مبنی بر دسترسی به رمزهای عبور، شناسههای دولتی یا اطلاعات مالی پیدا نکرده است، مجموعه دادههای استخراج شده همچنان بسیار حساس باقی میماند. رکوردهای سرقت شده شامل نامهای کاربری، آدرسهای ایمیل سازمانی، ثبتنامهای درسی و میلیاردها پیام خصوصی مبادله شده بین دانشجویان، اساتید و مشاوران دانشگاهی است.[2][8]
اگرچه اینستراکچر هیچ مدرکی مبنی بر دسترسی به رمزهای عبور، شناسههای دولتی یا اطلاعات مالی پیدا نکرده است، مجموعه دادههای استخراج شده همچنان بسیار حساس باقی میماند.
محققان امنیت سایبری با اطمینان بالا ارزیابی میکنند که دادههای سرقت شده، کمپینهای فیشینگ هدفمند (spear-phishing) بسیار متقاعدکنندهای را تقویت خواهند کرد. از آنجا که این دادهها حاوی زمینههای سازمانی واقعی هستند—مانند نامهای خاص دورهها و درخواستهای خصوصی تسهیلات پزشکی—عوامل تهدید میتوانند تلههای مهندسی اجتماعیای بسازند که تقریباً از ارتباطات قانونی دانشگاه قابل تشخیص نیستند.[4][8]
فراتر از سرقت دادهها، این نفوذ شکنندگی اکوسیستم گسترده شخص ثالث Canvas را آشکار کرد. Canvas از طریق کلیدهای API به دهها برنامه خارجی متصل میشود. پس از نفوذ، مؤسسات مجبور شدند این ادغامها را ممیزی و مجدداً تأیید کنند، که ابزارهای حیاتی دانشگاهی را مختل کرد و خطرات آبشاری ذاتی در پلتفرمهای آموزشی بسیار به هم پیوسته را برجسته ساخت.[4]
در ۱۱ مه، یک روز قبل از ضربالاجل باجگیری، اینستراکچر برای جلوگیری از نشت دادهها با عوامل تهدید به توافق رسید. این شرکت «گزارشهای حذف» (shred logs)—گزارشهای فنی تولید شده توسط برنامههای حذف داده—را به عنوان تأیید دیجیتالی مبنی بر حذف فایلهای سرقت شده دریافت کرد. شایعات تأیید نشده صنعتی حاکی از آن است که مبلغ باج پرداختی تقریباً ۱۰ میلیون دلار بوده است.[2][3][7]
شواهد پشتیبان حذف واقعی دادهها اساساً ضعیف است. کارشناسان امنیت سایبری و حسابداران قانونی تقریباً متفقالقول در مورد اعتبار گزارشهای حذف ارائه شده توسط باجگیران تردید دارند. یک سازمان مجرم که قبلاً ۳.۶۵ ترابایت داده را کپی کرده است، میتواند به راحتی یک گزارش حذف برای یک نسخه تولید کند در حالی که نسخههای دیگر را نگه میدارد، و هیچ تضمین واقعی ارائه نمیدهد که اطلاعات بعداً مورد سوءاستفاده مالی قرار نخواهند گرفت.[2][7]
با وجود دستورالعملهای فدرال که قویاً پرداخت باج را منع میکنند، تصمیم اینستراکچر منعکسکننده فشارهای منحصر به فرد بخش آموزشی است. تحلیلگران امنیتی خاطرنشان میکنند که وقتی دادههای به خطر افتاده شامل افشاهای شخصی حساس باشند—مانند سوابق سلامت روان یا اقدامات انضباطی مورد بحث در پیامهای خصوصی—پتانسیل آسیب واقعی اغلب سازمانها را وادار به پرداخت میکند و اولویت را به کاهش فوری خطر بر بازدارندگی بلندمدت میدهد.[2]
این نفوذ پیامدهای حقوقی فوری به دنبال داشته است، به طوری که چندین دعوای حقوقی جمعی علیه اینستراکچر در دادگاههای فدرال منطقهای مطرح شده است. مؤسسات متأثر اکنون در حال مدیریت تعهدات نظارتی پیچیده، ارزیابی مسئولیت خود و بررسی سیاستهای بیمه سایبری هستند، زیرا برای دعاوی طولانیمدت و تحقیقات نظارتی احتمالی در مورد اتکای خود به فروشندگان شخص ثالث آماده میشوند.[2][5]
ماهیت عمومی تخریبهای ۷ مه، به شدت به اعتماد بین دانشگاهها و ارائهدهندگان فناوری آنها آسیب رساند. دانشجویان در مؤسسات متأثر در طول دورههای حساس امتحانات از دسترسی به دروس خود محروم شدند، که دانشگاهها را مجبور کرد تا مهلتهای اضطراری اعطا کنند و به دنبال روشهای ارتباطی جایگزین باشند. این اختلال عملیاتی، وابستگی سیستمی به یک پلتفرم متمرکز واحد را برجسته کرد.[3][6]
نفوذ اینستراکچر به عنوان یک نقطه عطف برای امنیت فناوری آموزشی عمل میکند. معماران امنیتی اکنون از تفکیک سختگیرانهتر بین محیطهای رایگان و سازمانی، نظارت پیشرفته بر تولید توکنهای API و اجرای چارچوبهای «اعتماد صفر» (zero-trust) در سیستمهای مدیریت یادگیری حمایت میکنند. این حادثه نشان میدهد که پلتفرمهای آموزشی دیگر اهداف جانبی نیستند، بلکه مخازن مرکزی اطلاعات با ارزش بالا محسوب میشوند.[1][4]
روند رویداد
۲۵ آوریل ۲۰۲۶
عوامل تهدید از طریق یک آسیبپذیری در محیط Free-for-Teacher، دسترسی غیرمجاز اولیه به سیستمهای Canvas پیدا میکنند.
۲۹ آوریل ۲۰۲۶
اینستراکچر نفوذ را شناسایی کرده، دسترسی را لغو و شروع به اعمال وصلههای امنیتی میکند.
۳ مه ۲۰۲۶
ShinyHunters نام اینستراکچر را در سایت نشت دارک وب خود قرار داده و ادعای سرقت ۲۷۵ میلیون رکورد را میکند.
۷ مه ۲۰۲۶
هکرها از یک آسیبپذیری ثانویه سوءاستفاده میکنند تا صفحات ورود Canvas در دانشگاههای بزرگ را با درخواست باج تخریب کنند.
۱۱ مه ۲۰۲۶
اینستراکچر با هکرها به توافق رسیده و برای جلوگیری از نشت دادهها باج پرداخت میکند.
بررسی عمیق دیدگاهها
دیدگاه کارشناسان امنیت سایبری
متخصصان امنیتی قویاً پرداخت باج را توصیه نمیکنند و «گزارشهای حذف» را بیمعنی میدانند.
جامعه امنیت سایبری همچنان به شدت منتقد تصمیم اینستراکچر برای پرداخت باج است. کارشناسان استدلال میکنند که باجگیرانی مانند ShinyHunters هیچ انگیزهای برای حذف دائمی دادههای ارزشمند، حتی پس از پرداخت، ندارند. آنها «گزارشهای حذف»—رسیدهای دیجیتالی تخریب داده—را نمایشی ساختگی میدانند که آرامش خاطر کاذب ایجاد میکند. آنها معتقدند با پرداخت باج، شرکتها در واقع به جرایم سایبری آینده کمک مالی میکنند و مدل کسبوکار باجگیری را تأیید میکنند.
دیدگاه تحلیلگران اطلاعات تهدید
تحلیلگران بر ارزش اطلاعاتی بلندمدت دادههای استخراج شده برای حملات مهندسی اجتماعی آینده تمرکز دارند.
برای محققان اطلاعات تهدید، نگرانی اصلی باج فوری نیست، بلکه تبدیل مجموعه دادههای سرقت شده به سلاح است. از آنجا که رکوردهای استخراج شده شامل پیامهای خصوصی، ثبتنامهای درسی و روابط سازمانی است، تحلیلگران هشدار میدهند که از این دادهها برای ساخت کمپینهای فیشینگ هدفمند (spear-phishing) بسیار متقاعدکننده و آگاه به متن استفاده خواهد شد. این خطر «ثانویه» به این معنی است که تأثیر نفوذ به جای هفتهها، طی سالها آشکار خواهد شد.
دیدگاه مؤسسات متأثر
دانشگاهها و مدارس، تداوم عملیاتی فوری و حفاظت از دانشجویان آسیبپذیر را در اولویت قرار میدهند.
از دیدگاه مدیران دانشگاه و بخشهای فناوری اطلاعات، این نفوذ یک بحران فوری در حیاتیترین نقطه سال تحصیلی بود. با تخریب صفحات ورود و آفلاین شدن سیستمها در طول امتحانات نهایی، مؤسسات با فشار عظیمی برای بازیابی دسترسی مواجه شدند. علاوه بر این، نشت احتمالی افشاهای حساس دانشجویی—مانند تسهیلات پزشکی یا سوابق انضباطی—یک الزام اخلاقی و قانونی برای جلوگیری از انتشار به هر قیمتی ایجاد کرد.
آنچه نمیدانیم
- اینکه آیا عوامل تهدید، علیرغم ارائه «گزارشهای حذف»، نسخههای پنهانی از ۳.۶۵ ترابایت داده را نزد خود نگه داشتهاند یا خیر.
- ارزش مالی دقیق باجی که اینستراکچر به گروه باجگیری پرداخت کرده است.
- چه تعداد از کمپینهای فیشینگ هدفمند (spear-phishing) در ماههای آینده با موفقیت از پیامهای خصوصی سرقت شده سوءاستفاده خواهند کرد.
اصطلاحات کلیدی
- سیستم مدیریت یادگیری (LMS)
- یک برنامه نرمافزاری که توسط مؤسسات آموزشی برای مدیریت، مستندسازی، ردیابی و ارائه دورههای آموزشی و برنامههای تمرینی استفاده میشود.
- فیشینگ هدفمند (Spear-Phishing)
- یک حمله سایبری بسیار هدفمند که از اطلاعات خاص و شخصیسازی شده برای فریب افراد جهت افشای دادههای حساس یا نصب بدافزار استفاده میکند.
- گزارشهای حذف (Shred Logs)
- گزارشهای دیجیتالی تولید شده توسط برنامههای حذف داده، که به منظور اثبات حذف دائمی فایلهای خاص ارائه میشوند.
- کلید API
- یک کد منحصر به فرد که به یک رابط برنامهنویسی کاربردی (API) ارسال میشود تا برنامه فراخواننده را شناسایی کند، اغلب برای اتصال ابزارهای شخص ثالث به پلتفرمهایی مانند Canvas استفاده میشود.
- معماری اعتماد صفر (Zero-Trust Architecture)
- یک چارچوب امنیتی که مستلزم آن است که همه کاربران، چه در داخل و چه در خارج از شبکه سازمان، قبل از اعطای دسترسی، احراز هویت شده و به طور مداوم تأیید شوند.
پرسشهای متداول
چه دادههایی در نشت Canvas به سرقت رفت؟
هکرها ۳.۶۵ ترابایت داده شامل نامهای کاربری، آدرسهای ایمیل، شمارههای شناسایی دانشجویی، ثبتنامهای درسی و پیامهای خصوصی را استخراج کردند. اینستراکچر اعلام کرد که رمزهای عبور و اطلاعات مالی به خطر نیفتادهاند.
آیا اینستراکچر به هکرها باج پرداخت کرد؟
بله. اینستراکچر برای جلوگیری از نشت دادهها، با گروه باجگیری ShinyHunters به توافق رسید و طبق گزارشها، باجی که شایعه شده حدود ۱۰ میلیون دلار بوده، پرداخت کرد.
«گزارشهای حذف» (shred logs) چیست و آیا حذف دادهها را تضمین میکنند؟
گزارشهای حذف، گزارشهای فنی هستند که توسط نرمافزار برای تأیید از بین رفتن دادهها تولید میشوند. با این حال، کارشناسان امنیت سایبری هشدار میدهند که این گزارشها تضمین واقعی ارائه نمیدهند، زیرا هکرها میتوانند به راحتی قبل از تولید گزارش، از دادهها کپی بگیرند.
آیا شبکههای داخلی دانشگاهها به خطر افتادهاند؟
خیر. این نفوذ در پلتفرم Canvas که توسط اینستراکچر میزبانی ابری میشد، رخ داد، نه در شبکههای داخلی دانشگاهها یا مدارس متأثر.
منابع
[1]The Hacker Newsتحلیلگران اطلاعات تهدید
Instructure paid a ransom after hackers stole 275 million Canvas records
مطالعه در The Hacker News →[2]Cybersecurity Diveکارشناسان امنیت سایبری
Instructure confirms data breach, hackers demand ransom
مطالعه در Cybersecurity Dive →[3]The Guardianمؤسسات متأثر
Canvas data breach: Instructure 'reaches agreement' with hackers
مطالعه در The Guardian →[4]Trend Microتحلیلگران اطلاعات تهدید
Impact, Risks, and What Institutions Should Do After the Canvas Breach
مطالعه در Trend Micro →[5]Reed Smithمشاوران حقوقی و نظارتی
Instructure pays ransom following massive Canvas data breach
مطالعه در Reed Smith →[6]The Daily Pennsylvanianمؤسسات متأثر
Cybercrime group ShinyHunters hacks Penn's Canvas site
مطالعه در The Daily Pennsylvanian →[7]Shattered.ioکارشناسان امنیت سایبری
Canvas Data Breach: What Happened and Why It Matters
مطالعه در Shattered.io →[8]Shumakerمشاوران حقوقی و نظارتی
Instructure Discloses Major Cybersecurity Incident
مطالعه در Shumaker →
هر زاویه. هر روز.
دریافت دفاع و امنیت اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.









