Конгресс США расследует двойной взлом Canvas: данные миллионов студентов похищены
Комитет по внутренней безопасности потребовал от Instructure объяснений после того, как хакеры дважды взломали платформу, используя одну и ту же уязвимость.

Содержание
Американский производитель образовательного ПО Instructure оказался в центре парламентского расследования после того, как хакеры дважды взломали его системы и похитили персональные данные миллионов студентов по всему миру. Комитет Палаты представителей по внутренней безопасности направил письмо генеральному директору компании Стиву Дэли с требованием дать подробные объяснения об инцидентах. К расследованию подключилось федеральное агентство кибербезопасности CISA.
Одна уязвимость — два взлома
Instructure разрабатывает Canvas — одну из наиболее распространённых в мире платформ для управления учебным процессом. Именно через неё хакеры из группы ShinyHunters дважды получили несанкционированный доступ к данным, причём оба раза эксплуатировали одну и ту же уязвимость в системе.
Помимо кражи данных, злоумышленники дефейсили страницы входа учебных заведений — то есть подменяли их содержимое. Это означает, что компания не устранила брешь после первого инцидента, что и позволило атаке повториться.
Председатель комитета, конгрессмен Эндрю Гарбарино, в своём письме прямо указал: повторный взлом теми же хакерами «ставит серьёзные вопросы о способности компании реагировать на инциденты и о её обязательствах перед учреждениями и людьми, чьи данные она хранит».
««Масштаб и хронология взлома Instructure, а также очевидная неспособность крупного поставщика образовательных технологий нейтрализовать угрозу после первоначального вторжения — именно такие системные уязвимости входят в сферу ответственности нашего комитета», — написал Гарбарино.»
Компания заплатила выкуп — и это проблема
Instructure подтвердила, что «достигла соглашения» с хакерами. По имеющимся данным, злоумышленники предоставили доказательства удаления похищенных данных. Представитель ShinyHunters сообщил изданию TechCrunch, что группа не будет продолжать вымогательство, однако отказался раскрыть сумму выкупа.
Эксперты по кибербезопасности давно предупреждают: выплата выкупа финансирует будущие атаки и не даёт никаких гарантий. Хакеры нередко сохраняют копии похищенных данных даже после заявлений об их уничтожении — чтобы использовать их для повторного шантажа.
Комитет хочет выяснить не только технические детали взломов, но и то, как компания уведомляла пострадавшие учебные заведения и насколько эффективно взаимодействовала с CISA. Законодатели запросили закрытый брифинг с участием Дэли или другого топ-менеджера, ответственного за кибербезопасность.
Instructure пока не ответила на запрос комитета и не подтвердила готовность участвовать в брифинге. Пресс-служба компании также проигнорировала запрос TechCrunch.
Почему это важно за пределами США
Canvas используется тысячами университетов и школ по всему миру, включая учебные заведения в странах СНГ. Белорусские вузы, подключённые к платформе напрямую или через партнёрские программы, теоретически могут входить в число пострадавших — хотя публичных подтверждений этому пока нет.
Для белорусского IT-сообщества этот кейс показателен по другой причине. Компании, работающие с персональными данными пользователей — будь то edtech, fintech или SaaS-платформы, — несут репутационные и регуляторные риски не только в момент утечки, но и в случае неадекватного реагирования на инцидент. Именно «неспособность локализовать угрозу после первого вторжения» стала главным поводом для парламентского расследования, а не сам факт взлома.
История Instructure также демонстрирует риски стратегии выплаты выкупа: компания, судя по всему, предпочла откупиться вместо того, чтобы публично раскрыть масштаб ущерба и провести полноценный аудит безопасности. Это решение теперь обернулось куда более серьёзными репутационными и регуляторными последствиями, чем мог бы принести первоначальный инцидент.
Расследование комитета продолжается. Его итоги могут повлиять на требования к кибербезопасности для всех поставщиков ПО, работающих с государственными и образовательными учреждениями США.
— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.








