Világszerte diákok milliói próbáltak belépni a jól ismert online oktatási rendszerbe, az Instructure által működtetett Canvas platformra 2026 májusának elején. Ez az a rendszer, ahol beadandókat töltenek fel, vizsgákat írnak, jegyeket néznek meg, és ahol a tanárok kommunikálnak a hallgatókkal. Csakhogy a megszokott belépési oldal helyett sokakat egy sokkoló üzenet fogadott.
A képernyőn a hírhedt hekkerbanda, a ShinyHunters neve virított, mellette pedig egy fenyegetés: ha nem fizetnek, kiszivárogtatják az ellopott adatokat.
A The Hacker News beszámolójából pedig kiderült, hogy nem néhány e-mail-címről volt szó. A hekkerek állítása szerint 3,65 terabyte-nyi adatot szereztek meg csaknem kilencezer iskola és egyetem rendszeréből. A kiszivárgott információk között diákok nevei, e-mail-címei, azonosítói, sőt tanárok és diákok privát üzenetei is szerepelhettek. A becslések szerint akár 275 millió embert érinthetett az incidens.
A támadás időzítése különösen kegyetlen volt: sok helyen épp vizsgaidőszak zajlott. Egyetemek halasztották a vizsgákat, diákok pánikoltak, oktatók pedig alternatív megoldásokat kerestek, hogy egyáltalán kapcsolatban maradhassanak a hallgatókkal.
A történet azonban itt nem állt meg: a hekker-csoport azt állította, hogy az Instructure először nem volt hajlandó tárgyalni velük, inkább biztonsági javításokkal próbálta megfékezni a támadást. Erre válaszul a ShinyHunters újra lecsapott, és több iskola Canvas-oldalát látványosan „elfoglalták”, majd nyilvános ultimátumot adtak május 12-ig.
Az Instructure végül bejelentette, hogy „megállapodásra jutott” a támadókkal. Hivatalosan nem mondták ki, hogy váltságdíjat fizettek, de a szakértők úgy vélik, szinte biztos, hogy pénz is gazdát cserélt. A cég szerint a hekkerek visszaadták az adatokat, és digitális bizonyítékot szolgáltattak arról, hogy törölték a másolatokat.
Csakhogy a kiberbiztonsági szakértők szerint itt jön a legnyugtalanítóbb rész:
a hekkerek szavában senki sem lehet biztos.
Hiába ígérik, hogy törölték az adatokat, valójában senki nem tudja ellenőrizni, hogy nem maradt-e valahol egy másolat. Többen attól tartanak, hogy ez az eset veszélyes precedenst teremthet: ha a cégek fizetnek, azzal még inkább bátoríthatják a jövőbeli támadásokat.
Az ügyet sokan már most az oktatási szektor történetének egyik legsúlyosabb kibertámadásaként emlegetik. Talán ez az egész történet legijesztőbb tanulsága az, hogy ma már nem bankokat vagy katonai rendszereket kell feltörni ahhoz, hogy káoszt okozzanak, elég egy platform, ahol diákok beadandói és vizsgái futnak.
Már a PornHub is bajba került miattuk
Decemberben a Pornhub ellen indított zárolási kísérletet a ShinyHunters, és több prémiumfelhasználó adataihoz szereztek hozzáférést. A kibertámadás nem közvetlenül a videómegosztót érte, hanem egy harmadik fél analitikai szolgáltatóját, a Mixpanelt egy SMS-alapú adathalász-akcióval.
A pornóoldal akkor megerősítette: több prémiumfelhasználó lehet érintett, de hangsúlyozták, hogy jelszavak, hitelkártya- és egyéb pénzügyi adatok nem kerültek a támadók kezébe. A támadócsoport azonban 94 gigabyte-nyi adat megszerzéséről adott hírt, benne e-mail-címekkel és keresési előzményekkel.
(Borítókép: Képünk illusztráció! Fotó: Jan Woitas / picture alliance / Getty Images)
5 könyv
Több mint 600 meghökkentő, érdekes és tanulságos történet!
Kövesse az Indexet Facebookon is!
Követem!