Canvas çöktü, ShinyHunters okul verilerini sızdırmakla tehdit ediyor

 (theverge.com)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Instructure'ün öğrenme yönetim platformu Canvas, büyük çaplı bir veri ihlalini doğrulamasının ardından çöktü ve Canvas, Canvas Beta ile Canvas Test bakım moduna alındı
  • İhlalden etkilenen veriler arasında öğrenci adları, e-posta adresleri, kimlik numaraları ve mesajlar yer alıyor
  • Canvas'a erişen öğrenciler, saldırının sorumluluğunu üstlenen hacker grubu ShinyHunters'ın okul verilerini yayımlamakla tehdit eden bir mesaj gördü
  • ShinyHunters, 12 Mayıs 2026 gün sonuna kadar müzakere olmazsa tüm verileri sızdıracağını tehdit etti ve etkilenen okulların TOX üzerinden özel olarak iletişime geçip anlaşma yapmasını istedi
  • Instructure, geçen haftaki ihlalin ardından sistem güvenliğini güçlendirmek için yamalar dağıttı; ShinyHunters ise veri sızıntısı sitesinde 9.000 okul ve 275 milyon öğrenci, öğretmen ve personelin verilerinin bulunduğunu iddia ediyor

Kesinti durumu

  • Instructure'ün durum sayfasında “Canvas, Canvas Beta, Canvas Test bakım moduna alındı” duyurusu yayımlandı
  • Instructure, hizmetin kısa süre içinde geri gelmesinin beklendiğini ve mümkün olan en kısa sürede güncelleme paylaşacağını söyledi

ShinyHunters'ın tehdidi

  • ShinyHunters, Instructure'e yeniden sızdığını ve Instructure'ün kendileriyle iletişime geçmeden “güvenlik yaması” yaptığını iddia etti
  • Mesajda, ShinyHunters'ın Canvas üzerinden ihlal ettiğini öne sürdüğü okulların listesine bir bağlantı da yer alıyor
  • Etkilenen okul listesinde bulunan kurumların veri yayımlanmasını engellemek istemeleri halinde, bir siber danışmanlık şirketiyle görüştükten sonra TOX üzerinden özel olarak iletişime geçip anlaşmayı müzakere etmeleri istendi

Etki ölçeği ve önceki iddialar

  • ShinyHunters daha önce de Ticketmaster, AT&T, Rockstar Games, ADT ve Vercel saldırılarının sorumluluğunu üstlendiğini iddia etmişti
  • Bleeping Computer'a göre ShinyHunters, kendi veri sızıntısı sitesinde 9.000 okulun bulunduğunu ve bunun öğrenci, öğretmen ve diğer personelden 275 milyon kişinin verilerini içerdiğini iddia ediyor

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Sahadaki bakış açısından konuşursam, Canvas kullanan bir üniversitede ders veriyorum ve şu an final sınavları dönemi
    Bugün 17:17 EDT’de öğrenci işleri ofisinden kesintiyle ilgili ilk e-postayı aldık; 18:24 ve 18:57’de de ek e-postalar geldi, ama bunların çoğu gerçekte ne olduğundan çok telafi ve alternatif prosedürlerle ilgiliydi
    “Ülke çapında kesinti” ve “siber güvenlik saldırısı” dışında ayrıntı yoktu; okulun da bundan fazlasını bilmediği anlaşılıyor
    Dikkat çekici olan şu ki, Canvas üzerinden teslim edilen ödevler için öğrencilere bunları doğrudan öğretim üyelerine e-postayla göndermeleri talimatı verildi; bu da yakında düzeleceğine dair pek güven olmadığını düşündürüyor
    Şahsen benim üzerimdeki etkisi sınırlı. Bilgisayar bilimi hocasıyım; öğrenci çalışmalarının önemli bir kısmı bölüm ekipmanlarında yapılıyor ve teslimler de oraya yapılıyor, asıl sınavlar ise kâğıt üzerinde oluyor
    Daha da önemlisi, Canvas not defterine hiç güvenmedim; bu yüzden notları öğrencilerin görebilmesi için Canvas’a yüklüyorum, ama asıl not defterini her zaman yerel bir spreadsheet’te tutuyorum
    Ama birçok meslektaşım için bu, “bina yandı ve tüm sınav kâğıtlarıyla not defteri yok oldu” düzeyinde bir felaket. Yalnızca yüz yüze ders veren hocalar bile değerlendirmelerinin çoğunu Canvas quiz özelliğine taşımıştı; finalleri bile Canvas’ta yapıyor ve Canvas not defterini asıl kayıt olarak kullanıyorlardı
    İdare de “not girişi kolaylaşır” diyerek bunu teşvik ediyordu. Bu tür hocaların elinde çok az ya da hiç öğrenci çıktısı olmayabilir; öğrenciler de baştan beri Canvas içinde çalıştıkları için e-postayla yeniden gönderecek materyalleri olmayabilir, hatta not ve devam kayıtları bile yalnızca Canvas içinde tutulmuş olabilir
    Mart ayında ara advisory notları gönderildiyse, en azından onlara erişim olabilir ama hepsi o kadar da olabilir
    İçgüdüm ya bunun birkaç saat içinde çözüleceği ya da haftalar süreceği yönünde. Eğer air-gapped yedekler varsa ve yalnızca yeni sunucular ayağa kaldırılacaksa ilki, yoksa ikincisi. Pek orta yol görünmüyor
    Yarın sabaha kadar çözülmezse, üniversitemizde ve ülke genelinde birçok hocanın adil ve makul notları nasıl vereceğini gerçekten bilmiyorum
    En uç senaryoda, pandemi dönemindeki yarıyıllarda yaptığımız gibi ve okulumuzda finallere bir hafta kala iki büyük akademik binanın gerçekten yandığı yarıyılda olduğu gibi, normalde letter grade verilen derslerde bile geçti/kaldı notlandırmasına geçmek gerekebilir. Başka ne yapılabilir ki
    Elbette tüm yumurtaları aynı sepete koymamak ve “bulut”a fazla güvenmemek gibi bir seçenek de vardı, ama artık o tren kaçtı. Uzun vadede birilerinin buradan ders çıkarıp çıkarmayacağını merak ediyorum
    Güncelleme: 23:45pm EDT itibarıyla üniversitemizin Canvas instance’ı yeniden çalışıyor. Umarım böyle kalır, ama yine de tedbir olarak bazı şeyleri indirip saklayacağım

    • Bir öğrenci quiz vb. bir şeyi tamamladığında ilgili kayıtları öğrenciye e-postayla göndermek son derece kolay
      Bunun yapılmamasının nedeni belli ki veriyi kontrol etmek istemeleri; üniversitelerin neden bunu şart koşmadığını da anlamıyorum
    • Eğitim alanında IT’de çalışıyorum ve bizim de bildiğimiz pek bir şey yok
      Bugün bildiklerimiz Reddit başlığından ve Hacker News başlığından çıkanlardan ibaret. Resmî iletişimde saldırıdan hiç söz edilmedi, ama giriş sayfası ShinyHunters tarafından tahrif edilmişti
    • Hibrit bir yaklaşım da mümkün görünüyor. Alelacele final sınavı ya da proje hazırlanır, öğrencilere de geçti/kaldı ile gerçek not arasında seçim hakkı verilir
      Ve umarım bir gün SaaS ortadan kaybolur da, ihtiyaç duyduğumuz gibi kontrol edip değiştirebildiğimiz yazılımları kendimiz dağıtabiliriz
    • Tek bir sınav yapıp ders notunu ona göre belirlemek mümkün değil mi diye düşünüyorum
      Aslında doğrusu da bu; dönem içi ödev puanları ya da daha da kötüsü devam puanları, öğrencinin konuyu öğrenip öğrenmediğini değerlendirmek için gerekli değil. Sınavı yapıp bitirirsiniz

  • Bu başlıkta bu kadar az yorum olmasına şaşırdım. Muhtemelen milyonlarca öğrenci, yılın en stresli zamanında etkileniyor
    Zaten Canvas’tan ve muhtemelen diğer tüm öğrenim yönetim sistemi şirketlerinden nefret ediyordum; bu kesintiyi özellikle komik yapan şey, üniversitelerin ADA uyumluluğu kuralları nedeniyle tüm öğretim üyelerinden istisnasız bütün materyalleri Canvas’a yüklemelerini tam da şimdi zorunlu kılması
    Örneğin kişisel web sitesindeki bir PDF’ye bakmalarını söylemek bile açıkça yasak
    Buradaki diğer insanlar, birçok öğretim görevlisinin de Canvas kullanımının kendilerine dayatılmasından hoşlanmadığını pek fark etmiyor gibi

    • Şimdilik bunu bana zorla kabul ettirebilmiş değiller. Ama bilişim alanındaki profesörler arasında bile dersleri desteklemek için gereken temel çevrimiçi altyapıyı çalıştıramayan bu kadar çok insan olması üzücü. Tabii üniversite de bunu kolaylaştırmıyor
      Canvas’la ilgili başka bir ciddi endişem de, hocaların yüklediği tüm materyallerin AI ikameleri eğitmek için kullanılıyor olma ihtimali. Meslektaşlarım bunun hakkında çok kara mizah yapıyor ama gerçek bir eylem pek görmedim
    • Günümüz öğrencileriyle HN kullanıcıları arasında artık çok büyük bir kesişim yok gibi. Bildiğim kadarıyla ben epey nadir bir istisnayım :)
      İdare şimdiye kadar “Canvas diyor ki” diye başlayan bir e-posta ve bir saat sonra da “Canvas süresiz olarak kapandı” diyen bir e-posta gönderdi; yani durumun ciddiyetinin farkında olduklarını bu şekilde bildirdiler
      Canvas, bilmeyenler için söyleyeyim, quiz gibi özellikleri de olan bir ders wikisine daha yakın
    • Canvas üzerinden derslerin canlı yayınlanması çok popüler. Epey çok öğrenci dersleri sadece yurttan izliyor
      Bu yüzden öğrencilerin yeniden sınıfa gelmesi gerekebilir ve bunu görmek ilginç olurdu. İlk ders gününde sınıflar neredeyse ayakta izlenecek kadar dolu, bazen gerçekten öyle oluyor, sonra giderek azalıyor. 100 kişilik bir derse yalnızca 10 kişinin geldiği zamanlar olabiliyor
      Canvas hızla geri dönmezse, bu yüzden de ciddi bir fiilî karmaşa yaşanabilir
    • Canvas’ın HTML ve PDF’ye göre hangi açıdan daha erişilebilir olduğunu anlamıyorum
      PDF okuyucuların ekran okuyucular için en iyi seçenek olmadığı doğru, ama yanında bir .html kopyası da yüklenemez mi

  • Herhangi bir şirketin ransomware fidyesi ödemesi yasa dışı olmalı. İstisnasız, asla ödeme yapılmamalı
    Saldırganların cezalandırılması, ihlal ettikleri sistemle bağlantılı olmalı. Bir hastaneye saldırıp birinin ölümüne neden oldularsa bu müebbet ya da idamlık olmalı. Asgari ceza, saldırıyı caydıracak kadar acı verici olmalı
    Elbette bu tek başına çözüm olmaz; şirketler de güvenliğe yeterince yatırım yapmamalarının hesabını vermeli. Her saldırıda, ilgili şirketin uzlaşılan sektör standartlarını, en iyi uygulamaları, personel standartlarını vb. karşılayıp karşılamadığı incelenmeli; gereklilikleri karşılamadıysa cezalandırıcı yaptırımlar uygulanmalı

    • Yasa dışı olması gereken şey güvensiz hizmet işletmek. Özellikle de kişisel veri işleniyorsa
      İhlaller sürekli yaşanıyor ama kimse umursamıyor. En kötü ihtimalle birkaç müşteri kaybediyorlar ve biraz “kredi izleme” hizmeti satın alıyorlar, o kadar
      Bu tür olayların ardından denetim yapılmalı ve dava açılmalı. İhmalkâr güvenlik başarısızlıkları yüzünden şirket yöneticileri hapse girmeli. Muhasebe dolandırıcılığı yüzünden hapse girilebiliyorsa, siber güvenlik vaatleriyle dolandırıcılık yüzünden de girilebilmeli
      Kendilerinin çeşitli güvenlik standartlarına uyduklarını iddia ediyorlar https://www.instructure.com/en-au/trust-center/compliance
      Olay sonrası denetimde gerçekte ne kadarını uyguladıklarını görmek isterim
    • Belki de en başta, denizaşırı suçlulara para göndermeyi zorlaştırmaya odaklanmak gerekir. /hmm/ kötü niyetli aktörlere para transferini mümkün kılan kripto para platformları /hmm/
    • Devletler ne zaman siber saldırıları savaş eylemi olarak görmeye başlayacak
      Kuzey Kore askerleri ABD’ye gelip Fort Knox’tan 200 milyon dolarlık altın çalsa misilleme olurdu. Ama aynı miktar, Amerikan şirketlerini hackleyerek çalındığında federal hükümet hiçbir şey yapmıyor
    • “Acı verici asgari cezaların” yabancı uyrukluları ya da yabancı hükümetleri kesin olarak caydıracağını sanmıyorum
    • Biri banka soyarken içerideki biri kalp krizi geçirip ölürse bu felony murder olur
      Aynı ilkenin ransomware saldırılarına ya da şantaj ve veri sızıntısı olaylarına da uygulanması güzel olurdu. Bunun sonucunda biri intihar ederse bu cinayet sayılmalı

  • Çocuklarım final haftasının tam ortasında. Tam bir kaos
    Üniversiteler hiçbir şey bilmiyor, Canvas bunun “scheduled maintenance” olduğunu iddia ediyor ve bazı hocalar “çevrimdışı materyal kopyamız yok” diyor; bu da oldukça özensiz görünüyor
    Popüler derslerden birinin bir şubesi kâğıt sınav yapacak gibi görünüyor, diğer şubeler ise bugün daha erken saatlerde “ikinci deneme yarım puan” gibi Canvas tabanlı bir sınava çoktan girmiş gibi
    İsimler ve notlar veri dökümünde görünene kadar ne kadar zaman geçecek
    Bu, ABD’de TurboTax’in 14 Nisan’da “scheduled maintenance” planlaması gibi bir şey

    • “Scheduled Maintenance” tam bir saçmalık ve açıkçası Canvas’ı daha da kötü gösteriyor
      Durum sayfasına göre bu, görünüşe bakılırsa %99.996 çalışma süresi demekmiş. Not etmekte fayda var

  • MIT’de ders veren bir arkadaşım bununla uğraşıyordu
    MIT gibi bir yerde bu amaç için bir on-prem çözümü ayakta tutacak IT personelinin olmaması ironik ve biraz da üzücü geldi
    Ama sonra MIT’nin aslında kendi geliştirdiği bir sistemi olduğunu ve yakın zamanda Canvas’a geçtiğini öğrendim. Muhtemelen şu an pişmanlardır
    Son 10 yılda yap vs satın al kararının fazla güçlü biçimde satın alma tarafına kaydığını düşünüyorum; bu üzücü
    Elbette kurumlar temel yetkinliklerine odaklanmalı ve bazen temel yetkinlik olmayan işleri dışarı vermek mantıklıdır. Ama bunun her zaman dezavantajları olur

    • Kendi geliştirdiğiniz sistemlerin bakım maliyeti yüksektir ve genelde mevcut ticari seçeneklerle karşılaştırıldığında geride kalırlar
      Öğrenim yönetim sistemleri de sonuçta aşırı karmaşık yazılımlar. Lisans öğrencisiyken üniversitemizdeki özel sürümün içinde yer almıştım
    • Kariyerime eğitim IT’sinde başladım; hiç şaşırtıcı değil
      Hırslı ve yetenekli IT personeli eğitim sektöründe uzun süre kalmıyor. Maaşlar sektörle karşılaştırıldığında çok düşük
      Çalıştığım yerde, belli bir kıdemden sonra rahat bir emeklilik hakkı vardı; bu yüzden IT çalışanları emeklilik fonu riskini hiç üstlenmemek için olabildiğince çok şeyi dış kaynak kullanımıyla yaptırmaya çalışıyordu. Sorun çıktığında da suçu tamamen danışmanlara atıp mümkün olduğunca az iş yapmak gibi bir durum vardı
      Kelimenin tam anlamıyla hayallerin öldüğü yer
      MIT müthiş hocaları ve öğrencileriyle tanınır, ama günün sonunda bir üniversiteyi işletmek oldukça standart bir iştir. Ders platformu sunucularını yönetmek için dâhi bir rockstar’a gerek yok

  • Stanford öğrencisiyim ve bu kesinti okul genelinde ciddi darbe vuruyor
    Brown, Harvard, MIT gibi doğu yakası okullarının aksine bizde quarter system var; yani şu an tam da ara sınavları yeni bitirdiğimiz dönemdeyiz
    Neyse ki bilgisayar bilimi bölümü Canvas’tan tamamen bağımsız, ama beşerî bilimler derslerimin çoğu öyle değil
    Bir sanat tarihi dersi ara dönem ödevlerini bir Google Drive klasörüne yüklememizi istiyor, başka bir ders ise haftalık quizleri durdurdu
    Bu olay, öğrencilerin ve öğretmenlerin Canvas’a ne kadar bağımlı hale geldiğini ortaya koyuyor. Öğrenci açısından zaten pek iyi olmayan bu platformdan uzaklaşma tartışmasının yeniden başlamasını umuyorum

    • ShinyHunters’ın öğrencilere ve Amerika’nın genç zihinlerine kadar inmesi gerçekten çizgiyi aşmış gibi
      Şirketleri hedef almak başka, öğrencileri hedef almak başka. Öğrencileri rahat bırakmak lazım

  • Canvas’ın tepkisi berbattı. Ne iletişim var ne de durum güncellemesi
    Tüm platform sanki ihlal edilmiş gibi görünüyor; buna rağmen zaten yaşanmış olan güvenlik ihlali hakkında tek bir gerçek rapor bile olmaması çok kötü duruyor
    ABD’de okulların çoğu şu an finalleri yaptığı için, hizmet seviyesi sözleşmesi ihlalleri ve davaların ne kadar hızlı ortaya çıkacağını merak ediyorum

    • Canvas/Instructure ile çok iş yaptım. Teknolojileri idare eder
      Kültürleri ise pazar konumları yüzünden kendini fazlasıyla beğenmiş gibi görünüyor

  • Eskiden birçok üniversite kendi geliştirdiği ya da on-prem öğrenci sistemleri çalıştırıyordu
    Bu, bulut merkezileşmesinin dezavantajı. Altyapı ihlal edilince tek tük kurulumlar değil, herkes etkileniyor
    Şimdi bu kararı nasıl hissettiklerini merak ediyorum. Yine de “bizim hatamız değil” diyebildikleri için, kendi sistemlerindeki bir açık olmasına kıyasla kendilerini daha iyi hissediyor olabilirler

    • Yazılımda bir açık bulunduğunda, saldırganlar yüzlerce ayrı kurum kurulumunu da aynı derecede kolay biçimde otomatik saldırılarla hedefleyebilir
      Açığa bağlı olarak, on-prem yöneticiler tavsiye edilen güvenlik önlemlerinin tamamını uygulamadıysa bu daha da kolay olabilir
      Aslında benim daha çok merak ettiğim şey, burada Instructure’ın mali sorumluluğu olup olmadığı. Teknik başarısızlık Instructure tarafında ama fidye talebi üniversitelere gidiyor; bu ilginç
      Uptime SLA’lerine alışığım, peki güvenlik ihlali SLA’si nasıl olurdu
    • Üniversiteler zaman ve para harcayıp kendi sistemlerini kurmuş ve sonra hacklenmiş olsaydı sorumluluk onların olurdu
      Şimdiyse blackjack krupiyesi gibi ellerini çırpıp avuçlarını göstererek, hiçbir sorumluluk almadan masadan kalkabiliyorlar. Kendi yapmayıp ürün kullanmanın en büyük avantajlarından biri bu olabilir
    • Bu yöntem yine de daha güvenli. Özellikle AI destekli hackleme yüzünden belirsizlikten faydalanmak giderek zorlaşıyor
      Suçu atabilecek başka bir tarafın olması ve herkes birlikte çöküyorsa birlikte çökmenin de bir değeri var

  • Lisedeyken, sanırım 2016 ya da 2017’de, ödev teslim formunda çok basit bir XSS bulup programlama öğretmenime söylemiştim
    Sonra Canvas hesabımı kilitledi ve ilk, hatta belki de tek okul sonrası cezamı almama neden oldu. Güzel günlerdi

    • Benzer şekilde, okulun engelleme yazılımı YouTube’u ve embed’leri engelliyordu ama Canvas’tan geliyorsa izin veriyordu
      Tartışma yorumları için HTML editörünü devre dışı bırakmaları akıllıcaydı, ama zengin metin editörü olduğu için data:text/html içine kod koyup bir öğeyi biçimli HTML olarak kopyalayınca embed’i olduğu gibi yapıştırabildiğinizi unutmuşlardı
      Hatta DOMPurify örnek XSS’lerin tamamını da denedim ve birinin bilgisayarına kullanıcı tanımlı içerik indirtebilen bir yöntem buldum
    • O açığı gerçekten sömürüp sonra mı öğretmene haber verdin

  • İçeriden bilgi sahibi biri varsa, Parchment’ın da potansiyel olarak etkilenip etkilenmediğini merak ediyorum
    Instructure birkaç yıl önce satın almıştı ve çok büyük miktarda transkript işliyor
    Düzenleme: https://status.parchment.com/ üzerinde şöyle yazıyor: “Canvas, Canvas Beta ve Canvas test şu anda kullanılamıyor, ancak Parchment dahil diğer tüm ürün ortamlarını aynı anda izliyoruz. Şu ana kadar Parchment kaynaklarının etkilendiğine inanmamız için bir neden yok.”