أعلنت شركة Instructure، الشركة الأم لمنصة Canvas التعليمية، عن توصلها إلى اتفاق مع مجموعة إلكترونية متخصصة في الابتزاز، وذلك عقب اختراق لشبكتها وتهديد بتسريب بيانات آلاف المدارس والجامعات. يمثل هذا الاتفاق خطوة مثيرة للجدل في سبيل حماية المعلومات الحساسة.
وفقا لبيان صادر عن الشركة، فإن هذا الاتفاق يشمل جميع العملاء المتأثرين بعملية الاختراق. كما أشارت الشركة إلى استعادة البيانات المسروقة والحصول على تأكيد رقمي بإتلافها، مؤكدةً عدم تعرض أي من العملاء لابتزاز إضافي جراء الاختراق.
تفاصيل الاختراق وتسريب البيانات
تأتي هذه المستجدات في أعقاب هجوم إلكتروني شنته مجموعة ShinyHunters على منصة Canvas، وهي نظام إدارة تعلم شائع مستخدم عبر الويب. أسفر الهجوم عن سرقة 3.65 تيرابايت من البيانات، مما أثر على ما يقرب من 9000 مؤسسة تعليمية.
ورغم الاعتقاد الأولي ب احتواء الاختراق، تم رصد موجة ثانية من النشاط غير المصرح به في أوائل شهر مايو 2026. شهدت بوابات تسجيل الدخول لمنصة Canvas في حوالي 330 مؤسسة ظهور رسائل ابتزاز، مع منح Instructure مهلة محددة للتفاوض حول فدية لتجنب تسريب البيانات.
آلية الاختراق والبيانات المسروقة
تشير التقارير إلى أن المهاجمين استغلوا ثغرة لم يتم الكشف عن تفاصيلها في بيئة “Free-for-Teacher” التابعة للمنصة. تمكنوا من الحصول على وصول أولي وسرقة حوالي 275 مليون سجل تحتوي على أسماء مستخدمين، عناوين بريد إلكتروني، أسماء دورات دراسية، ومعلومات تسجيل، بالإضافة إلى رسائل. أكدت Instructure أن محتوى الدورات الدراسية، الواجبات، وبيانات تسجيل الدخول لم تتعرض للاختراق.
الإجراءات الأمنية وردود الفعل
في أعقاب الاختراق، قامت Instructure بإغلاق حسابات “Free-For-Teacher” مؤقتًا. ورغم عدم الكشف عن طبيعة الثغرة الأمنية، أفادت الشركة بإلغاء صلاحيات الوصول المميزة والرموز المفوضة للأنظمة المتأثرة، وتدوير المفاتيح الداخلية، وتقييد مسارات إنشاء الرموز، وتطبيق ضوابط أمنية إضافية.
من جانبهم، أوضح خبراء الأمن السيبراني أن البيانات المسروقة يمكن أن توفر للمهاجمين سياقا كافيا لتنفيذ حملات تصيد احتيالي موجهة ضد الموظفين والطلاب وأولياء الأمور. يمكن استخدام هذه السجلات لانتحال صفة مسؤولي المدارس أو مكاتب الدعم الفني أو المساعدة المالية في هجمات لاحقة. وعليه، ينبغي على المؤسسات المتضررة إصدار تحذيرات موجهة بشأن التصيد الاحتيالي والتواصل المباشر مع الأطراف المعنية.