نشت Canvasبسته شواهد۲۴ تیر ۱۴۰۵، ۸:۲۱· 5 دقیقه مطالعه

بسته شواهد: چگونه اینستراکچر پس از نشت تاریخی ۲۷۵ میلیون رکورد Canvas باج پرداخت کرد

در پی یک حمله سایبری گسترده توسط گروه باج‌گیری ShinyHunters، شرکت اینستراکچر (اپراتور Canvas) برای اطمینان از حذف ۳.۶۵ ترابایت داده دانشجویان و اساتید، باج پرداخت کرد. این بسته شواهد، مکانیسم‌های این نفوذ، اطلاعات مربوط به عوامل تهدید و خطرات مداوم فیشینگ هدفمند را بررسی می‌کند.

به قلم تیم سردبیری کوهستان

کارشناسان امنیت سایبری 30%تحلیلگران اطلاعات تهدید 30%مؤسسات متأثر 25%مشاوران حقوقی و نظارتی 15%
کارشناسان امنیت سایبری
متخصصان امنیتی قویاً پرداخت باج را توصیه نمی‌کنند و «گزارش‌های حذف» را بی‌معنی می‌دانند.
تحلیلگران اطلاعات تهدید
تحلیلگران بر ارزش اطلاعاتی بلندمدت داده‌های استخراج شده برای حملات مهندسی اجتماعی آینده تمرکز دارند.
مؤسسات متأثر
دانشگاه‌ها و مدارس، تداوم عملیاتی فوری و حفاظت از دانشجویان آسیب‌پذیر را در اولویت قرار می‌دهند.
مشاوران حقوقی و نظارتی
کارشناسان حقوقی بر مسئولیت آبشاری، تعهدات انطباق و خطرات دعاوی جمعی ناشی از نفوذ تأکید می‌کنند.

زوایای پوشش‌داده‌نشده

  • · دانشجویانی که پیام‌های خصوصی‌شان افشا شده است
  • · مدیران مناطق آموزش و پرورش (K-12)

چرا مهم است

به خطر افتادن ۲۷۵ میلیون رکورد دانشجویی، شکنندگی پلتفرم‌های آموزشی متمرکز را آشکار می‌سازد و گنجینه‌ای بی‌سابقه از اطلاعات شخصی را برای حملات فیشینگ هدفمند آتی در اختیار مجرمان سایبری قرار می‌دهد. تصمیم اینستراکچر برای پرداخت باج همچنین فشار عظیمی را که فروشندگان فناوری هنگام گروگان گرفته شدن داده‌های حساس کاربران با آن مواجه هستند، برجسته می‌کند.

نکات کلیدی

  • گروه باج‌گیری ShinyHunters به پلتفرم Canvas شرکت اینستراکچر نفوذ کرد و ۳.۶۵ ترابایت داده از ۲۷۵ میلیون کاربر را استخراج نمود.
  • داده‌های سرقت شده شامل نام‌ها، آدرس‌های ایمیل، ثبت‌نام‌های درسی و پیام‌های خصوصی است، اگرچه رمزهای عبور و داده‌های مالی ظاهراً امن مانده‌اند.
  • اینستراکچر برای جلوگیری از انتشار عمومی داده‌ها، باجی را که شایعه شده ۱۰ میلیون دلار بوده، پرداخت کرد.
  • کارشناسان امنیت سایبری هشدار می‌دهند که «گزارش‌های حذف» (shred logs) ارائه شده توسط هکرها، هیچ تضمین قابل تأییدی مبنی بر اینکه داده‌ها واقعاً از بین رفته‌اند، ارائه نمی‌دهند.
275 million
رکوردهای کاربری افشا شده
3.65 TB
داده‌های استخراج شده
9,000
مؤسسات متأثر در سطح جهانی
$10 million
باج شایعه شده

شواهد نشان می‌دهد که نفوذ آوریل ۲۰۲۶ به پلتفرم Canvas شرکت اینستراکچر، بزرگترین نشت فناوری آموزشی ثبت شده در تاریخ است. گروه باج‌گیری ShinyHunters تقریباً ۳.۶۵ ترابایت داده را که شامل ۲۷۵ میلیون رکورد کاربری در نزدیک به ۹۰۰۰ مؤسسه جهانی بود، استخراج کرد. حجم عظیم این داده‌ها، که شامل پیام‌های خصوصی و جزئیات ثبت‌نام است، فرصتی بی‌سابقه برای جمع‌آوری اطلاعات توسط مجرمان سایبری با هدف قرار دادن بخش دانشگاهی فراهم می‌کند.[1][4][5][7]

تحلیلگران اطلاعات تهدید، این حمله را به ShinyHunters، یک سندیکای باج‌گیری غیرمتمرکز که از سال ۲۰۲۰ فعال است، نسبت می‌دهند. محققانی که این گروه را ردیابی می‌کنند، تخصص آن‌ها را در نفوذ به زنجیره تأمین و پلتفرم‌های متمرکز ذکر می‌کنند. این گروه قبلاً در سپتامبر ۲۰۲۵ به محیط Salesforce شرکت اینستراکچر نیز نفوذ کرده بود، که نشان‌دهنده تمرکز عملیاتی مداوم بر این غول فناوری آموزشی و شبکه گسترده مشتریان سازمانی آن است.[4][8]

شواهد پزشکی قانونی به آسیب‌پذیری در محیط «رایگان برای معلم» (Free-for-Teacher) Canvas به عنوان بردار دسترسی اولیه اشاره دارد. طبق افشای حوادث، مهاجمان در ۲۵ آوریل ۲۰۲۶ از یک نقص نامشخص مرتبط با تیکت‌های پشتیبانی برای ورود استفاده کردند. این بردار به عوامل تهدید اجازه داد تا کنترل‌های امنیتی اصلی سازمانی را دور زده و به سیستم‌های تولیدی گسترده‌تر نفوذ کنند، که خطرات نگهداری سطوح قدیمی یا رایگان در مجاورت زیرساخت اصلی را برجسته می‌سازد.[1][7]

داده‌های تله‌متری اینستراکچر نشان می‌دهد که این شرکت نفوذ را در ۲۹ آوریل شناسایی کرده و دسترسی غیرمجاز را لغو و وصله‌های امنیتی را تا ۳۰ آوریل اعمال کرده است. با این حال، شواهد مهار نفوذ زودرس بود. در ۷ مه، عوامل تهدید از یک آسیب‌پذیری ثانویه سوءاستفاده کردند تا مجدداً وارد سیستم شوند و پورتال‌های ورود Canvas را در حدود ۳۳۰ مؤسسه، از جمله دانشگاه پنسیلوانیا و دانشگاه هاروارد، به صورت عمومی تخریب کردند.[1][6][7][8]

تکرار نفوذ در ۷ مه، حادثه را از یک سرقت پنهانی داده به یک کمپین باج‌گیری بسیار علنی تبدیل کرد. عوامل تهدید، صفحات استاندارد ورود دانشگاه‌ها را با یک پیام باج‌خواهی جایگزین کردند و از اینستراکچر خواستند تا ۱۲ مه برای توافق مذاکره کند یا با نشت گسترده داده‌ها مواجه شود. این تاکتیک که در طول دوره حساس امتحانات نهایی بسیاری از دانشگاه‌های آمریکای شمالی اجرا شد، فشار عملیاتی بر اینستراکچر و مشتریان سازمانی آن را به حداکثر رساند.[3][6][7]

اگرچه اینستراکچر هیچ مدرکی مبنی بر دسترسی به رمزهای عبور، شناسه‌های دولتی یا اطلاعات مالی پیدا نکرده است، مجموعه داده‌های استخراج شده همچنان بسیار حساس باقی می‌ماند. رکوردهای سرقت شده شامل نام‌های کاربری، آدرس‌های ایمیل سازمانی، ثبت‌نام‌های درسی و میلیاردها پیام خصوصی مبادله شده بین دانشجویان، اساتید و مشاوران دانشگاهی است.[2][8]

اگرچه اینستراکچر هیچ مدرکی مبنی بر دسترسی به رمزهای عبور، شناسه‌های دولتی یا اطلاعات مالی پیدا نکرده است، مجموعه داده‌های استخراج شده همچنان بسیار حساس باقی می‌ماند.

محققان امنیت سایبری با اطمینان بالا ارزیابی می‌کنند که داده‌های سرقت شده، کمپین‌های فیشینگ هدفمند (spear-phishing) بسیار متقاعدکننده‌ای را تقویت خواهند کرد. از آنجا که این داده‌ها حاوی زمینه‌های سازمانی واقعی هستند—مانند نام‌های خاص دوره‌ها و درخواست‌های خصوصی تسهیلات پزشکی—عوامل تهدید می‌توانند تله‌های مهندسی اجتماعی‌ای بسازند که تقریباً از ارتباطات قانونی دانشگاه قابل تشخیص نیستند.[4][8]

فراتر از سرقت داده‌ها، این نفوذ شکنندگی اکوسیستم گسترده شخص ثالث Canvas را آشکار کرد. Canvas از طریق کلیدهای API به ده‌ها برنامه خارجی متصل می‌شود. پس از نفوذ، مؤسسات مجبور شدند این ادغام‌ها را ممیزی و مجدداً تأیید کنند، که ابزارهای حیاتی دانشگاهی را مختل کرد و خطرات آبشاری ذاتی در پلتفرم‌های آموزشی بسیار به هم پیوسته را برجسته ساخت.[4]

در ۱۱ مه، یک روز قبل از ضرب‌الاجل باج‌گیری، اینستراکچر برای جلوگیری از نشت داده‌ها با عوامل تهدید به توافق رسید. این شرکت «گزارش‌های حذف» (shred logs)—گزارش‌های فنی تولید شده توسط برنامه‌های حذف داده—را به عنوان تأیید دیجیتالی مبنی بر حذف فایل‌های سرقت شده دریافت کرد. شایعات تأیید نشده صنعتی حاکی از آن است که مبلغ باج پرداختی تقریباً ۱۰ میلیون دلار بوده است.[2][3][7]

شواهد پشتیبان حذف واقعی داده‌ها اساساً ضعیف است. کارشناسان امنیت سایبری و حسابداران قانونی تقریباً متفق‌القول در مورد اعتبار گزارش‌های حذف ارائه شده توسط باج‌گیران تردید دارند. یک سازمان مجرم که قبلاً ۳.۶۵ ترابایت داده را کپی کرده است، می‌تواند به راحتی یک گزارش حذف برای یک نسخه تولید کند در حالی که نسخه‌های دیگر را نگه می‌دارد، و هیچ تضمین واقعی ارائه نمی‌دهد که اطلاعات بعداً مورد سوءاستفاده مالی قرار نخواهند گرفت.[2][7]

با وجود دستورالعمل‌های فدرال که قویاً پرداخت باج را منع می‌کنند، تصمیم اینستراکچر منعکس‌کننده فشارهای منحصر به فرد بخش آموزشی است. تحلیلگران امنیتی خاطرنشان می‌کنند که وقتی داده‌های به خطر افتاده شامل افشاهای شخصی حساس باشند—مانند سوابق سلامت روان یا اقدامات انضباطی مورد بحث در پیام‌های خصوصی—پتانسیل آسیب واقعی اغلب سازمان‌ها را وادار به پرداخت می‌کند و اولویت را به کاهش فوری خطر بر بازدارندگی بلندمدت می‌دهد.[2]

این نفوذ پیامدهای حقوقی فوری به دنبال داشته است، به طوری که چندین دعوای حقوقی جمعی علیه اینستراکچر در دادگاه‌های فدرال منطقه‌ای مطرح شده است. مؤسسات متأثر اکنون در حال مدیریت تعهدات نظارتی پیچیده، ارزیابی مسئولیت خود و بررسی سیاست‌های بیمه سایبری هستند، زیرا برای دعاوی طولانی‌مدت و تحقیقات نظارتی احتمالی در مورد اتکای خود به فروشندگان شخص ثالث آماده می‌شوند.[2][5]

ماهیت عمومی تخریب‌های ۷ مه، به شدت به اعتماد بین دانشگاه‌ها و ارائه‌دهندگان فناوری آن‌ها آسیب رساند. دانشجویان در مؤسسات متأثر در طول دوره‌های حساس امتحانات از دسترسی به دروس خود محروم شدند، که دانشگاه‌ها را مجبور کرد تا مهلت‌های اضطراری اعطا کنند و به دنبال روش‌های ارتباطی جایگزین باشند. این اختلال عملیاتی، وابستگی سیستمی به یک پلتفرم متمرکز واحد را برجسته کرد.[3][6]

نفوذ اینستراکچر به عنوان یک نقطه عطف برای امنیت فناوری آموزشی عمل می‌کند. معماران امنیتی اکنون از تفکیک سختگیرانه‌تر بین محیط‌های رایگان و سازمانی، نظارت پیشرفته بر تولید توکن‌های API و اجرای چارچوب‌های «اعتماد صفر» (zero-trust) در سیستم‌های مدیریت یادگیری حمایت می‌کنند. این حادثه نشان می‌دهد که پلتفرم‌های آموزشی دیگر اهداف جانبی نیستند، بلکه مخازن مرکزی اطلاعات با ارزش بالا محسوب می‌شوند.[1][4]

روند رویداد

  1. ۲۵ آوریل ۲۰۲۶

    عوامل تهدید از طریق یک آسیب‌پذیری در محیط Free-for-Teacher، دسترسی غیرمجاز اولیه به سیستم‌های Canvas پیدا می‌کنند.

  2. ۲۹ آوریل ۲۰۲۶

    اینستراکچر نفوذ را شناسایی کرده، دسترسی را لغو و شروع به اعمال وصله‌های امنیتی می‌کند.

  3. ۳ مه ۲۰۲۶

    ShinyHunters نام اینستراکچر را در سایت نشت دارک وب خود قرار داده و ادعای سرقت ۲۷۵ میلیون رکورد را می‌کند.

  4. ۷ مه ۲۰۲۶

    هکرها از یک آسیب‌پذیری ثانویه سوءاستفاده می‌کنند تا صفحات ورود Canvas در دانشگاه‌های بزرگ را با درخواست باج تخریب کنند.

  5. ۱۱ مه ۲۰۲۶

    اینستراکچر با هکرها به توافق رسیده و برای جلوگیری از نشت داده‌ها باج پرداخت می‌کند.

بررسی عمیق دیدگاه‌ها

دیدگاه کارشناسان امنیت سایبری

متخصصان امنیتی قویاً پرداخت باج را توصیه نمی‌کنند و «گزارش‌های حذف» را بی‌معنی می‌دانند.

جامعه امنیت سایبری همچنان به شدت منتقد تصمیم اینستراکچر برای پرداخت باج است. کارشناسان استدلال می‌کنند که باج‌گیرانی مانند ShinyHunters هیچ انگیزه‌ای برای حذف دائمی داده‌های ارزشمند، حتی پس از پرداخت، ندارند. آن‌ها «گزارش‌های حذف»—رسیدهای دیجیتالی تخریب داده—را نمایشی ساختگی می‌دانند که آرامش خاطر کاذب ایجاد می‌کند. آن‌ها معتقدند با پرداخت باج، شرکت‌ها در واقع به جرایم سایبری آینده کمک مالی می‌کنند و مدل کسب‌وکار باج‌گیری را تأیید می‌کنند.

دیدگاه تحلیلگران اطلاعات تهدید

تحلیلگران بر ارزش اطلاعاتی بلندمدت داده‌های استخراج شده برای حملات مهندسی اجتماعی آینده تمرکز دارند.

برای محققان اطلاعات تهدید، نگرانی اصلی باج فوری نیست، بلکه تبدیل مجموعه داده‌های سرقت شده به سلاح است. از آنجا که رکوردهای استخراج شده شامل پیام‌های خصوصی، ثبت‌نام‌های درسی و روابط سازمانی است، تحلیلگران هشدار می‌دهند که از این داده‌ها برای ساخت کمپین‌های فیشینگ هدفمند (spear-phishing) بسیار متقاعدکننده و آگاه به متن استفاده خواهد شد. این خطر «ثانویه» به این معنی است که تأثیر نفوذ به جای هفته‌ها، طی سال‌ها آشکار خواهد شد.

دیدگاه مؤسسات متأثر

دانشگاه‌ها و مدارس، تداوم عملیاتی فوری و حفاظت از دانشجویان آسیب‌پذیر را در اولویت قرار می‌دهند.

از دیدگاه مدیران دانشگاه و بخش‌های فناوری اطلاعات، این نفوذ یک بحران فوری در حیاتی‌ترین نقطه سال تحصیلی بود. با تخریب صفحات ورود و آفلاین شدن سیستم‌ها در طول امتحانات نهایی، مؤسسات با فشار عظیمی برای بازیابی دسترسی مواجه شدند. علاوه بر این، نشت احتمالی افشاهای حساس دانشجویی—مانند تسهیلات پزشکی یا سوابق انضباطی—یک الزام اخلاقی و قانونی برای جلوگیری از انتشار به هر قیمتی ایجاد کرد.

آنچه نمی‌دانیم

  • اینکه آیا عوامل تهدید، علی‌رغم ارائه «گزارش‌های حذف»، نسخه‌های پنهانی از ۳.۶۵ ترابایت داده را نزد خود نگه داشته‌اند یا خیر.
  • ارزش مالی دقیق باجی که اینستراکچر به گروه باج‌گیری پرداخت کرده است.
  • چه تعداد از کمپین‌های فیشینگ هدفمند (spear-phishing) در ماه‌های آینده با موفقیت از پیام‌های خصوصی سرقت شده سوءاستفاده خواهند کرد.

اصطلاحات کلیدی

سیستم مدیریت یادگیری (LMS)
یک برنامه نرم‌افزاری که توسط مؤسسات آموزشی برای مدیریت، مستندسازی، ردیابی و ارائه دوره‌های آموزشی و برنامه‌های تمرینی استفاده می‌شود.
فیشینگ هدفمند (Spear-Phishing)
یک حمله سایبری بسیار هدفمند که از اطلاعات خاص و شخصی‌سازی شده برای فریب افراد جهت افشای داده‌های حساس یا نصب بدافزار استفاده می‌کند.
گزارش‌های حذف (Shred Logs)
گزارش‌های دیجیتالی تولید شده توسط برنامه‌های حذف داده، که به منظور اثبات حذف دائمی فایل‌های خاص ارائه می‌شوند.
کلید API
یک کد منحصر به فرد که به یک رابط برنامه‌نویسی کاربردی (API) ارسال می‌شود تا برنامه فراخواننده را شناسایی کند، اغلب برای اتصال ابزارهای شخص ثالث به پلتفرم‌هایی مانند Canvas استفاده می‌شود.
معماری اعتماد صفر (Zero-Trust Architecture)
یک چارچوب امنیتی که مستلزم آن است که همه کاربران، چه در داخل و چه در خارج از شبکه سازمان، قبل از اعطای دسترسی، احراز هویت شده و به طور مداوم تأیید شوند.

پرسش‌های متداول

چه داده‌هایی در نشت Canvas به سرقت رفت؟

هکرها ۳.۶۵ ترابایت داده شامل نام‌های کاربری، آدرس‌های ایمیل، شماره‌های شناسایی دانشجویی، ثبت‌نام‌های درسی و پیام‌های خصوصی را استخراج کردند. اینستراکچر اعلام کرد که رمزهای عبور و اطلاعات مالی به خطر نیفتاده‌اند.

آیا اینستراکچر به هکرها باج پرداخت کرد؟

بله. اینستراکچر برای جلوگیری از نشت داده‌ها، با گروه باج‌گیری ShinyHunters به توافق رسید و طبق گزارش‌ها، باجی که شایعه شده حدود ۱۰ میلیون دلار بوده، پرداخت کرد.

«گزارش‌های حذف» (shred logs) چیست و آیا حذف داده‌ها را تضمین می‌کنند؟

گزارش‌های حذف، گزارش‌های فنی هستند که توسط نرم‌افزار برای تأیید از بین رفتن داده‌ها تولید می‌شوند. با این حال، کارشناسان امنیت سایبری هشدار می‌دهند که این گزارش‌ها تضمین واقعی ارائه نمی‌دهند، زیرا هکرها می‌توانند به راحتی قبل از تولید گزارش، از داده‌ها کپی بگیرند.

آیا شبکه‌های داخلی دانشگاه‌ها به خطر افتاده‌اند؟

خیر. این نفوذ در پلتفرم Canvas که توسط اینستراکچر میزبانی ابری می‌شد، رخ داد، نه در شبکه‌های داخلی دانشگاه‌ها یا مدارس متأثر.

منابع

پوشش منابع

8 منبع

4 دیدگاه شناسایی‌شده

کارشناسان امنیت سایبری 30%تحلیلگران اطلاعات تهدید 30%مؤسسات متأثر 25%مشاوران حقوقی و نظارتی 15%
  1. [1]The Hacker Newsتحلیلگران اطلاعات تهدید

    Instructure paid a ransom after hackers stole 275 million Canvas records

    مطالعه در The Hacker News
  2. [2]Cybersecurity Diveکارشناسان امنیت سایبری

    Instructure confirms data breach, hackers demand ransom

    مطالعه در Cybersecurity Dive
  3. [3]The Guardianمؤسسات متأثر

    Canvas data breach: Instructure 'reaches agreement' with hackers

    مطالعه در The Guardian
  4. [4]Trend Microتحلیلگران اطلاعات تهدید

    Impact, Risks, and What Institutions Should Do After the Canvas Breach

    مطالعه در Trend Micro
  5. [5]Reed Smithمشاوران حقوقی و نظارتی

    Instructure pays ransom following massive Canvas data breach

    مطالعه در Reed Smith
  6. [6]The Daily Pennsylvanianمؤسسات متأثر

    Cybercrime group ShinyHunters hacks Penn's Canvas site

    مطالعه در The Daily Pennsylvanian
  7. [7]Shattered.ioکارشناسان امنیت سایبری

    Canvas Data Breach: What Happened and Why It Matters

    مطالعه در Shattered.io
  8. [8]Shumakerمشاوران حقوقی و نظارتی

    Instructure Discloses Major Cybersecurity Incident

    مطالعه در Shumaker
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت دفاع و امنیت اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.