Ключевые выводы
- Instructure подтвердил, что достигло соглашения с группой ShinyHunters после двух взломов, в результате которых была украдена информация более чем 275 млн пользователей.
- Финансовые условия соглашения не раскрыты, но свидетельства указывают на то, что выкуп был выплачен и данные уничтожены.
- Случай подтверждает рост угрозы ransomware в сфере образования и подчеркивает необходимость проактивных мер киберзащиты для школ.
В начале 2026 года образовательные учреждения столкнулись с двойным ударом: платформа Canvas была взломана дважды, а хакеры потребовали выкуп. Что происходит, когда компания решает платить? Как это влияет на миллионы учеников и учителей? Читайте подробный разбор.
Что произошло: два взлома за несколько месяцев
28 апреля 2026 года кибергруппа ShinyHunters объявила о первом взломе Instructure — создателя популярного портала Canvas, которым пользуются почти 9 000 школ. По их словам, из системы были украдены данные — имена, личные e‑mail, переписка между учениками и преподавателями. Общее число пострадавших оценили в 275 млн человек.
Через несколько недель, 6 мая, хакеры снова проникли в сеть компании и изменили страницы входа в Canvas на сайте школ, заставив их показывать собственные сообщения‑протесты. Этот шаг был направлен на усиление давления и ускорение выплаты выкупа.
Instructure опубликовала официальное обновление на своей странице incident_update, где говорится, что в рамках «соглашения» хакеры предоставили доказательства уничтожения украденных данных, и что продолжать вымогательство уже невозможно.
Компания подчеркнула, что «никогда нет полной уверенности» при переговорах с киберпреступниками, но уверена, что клиентам не придётся взаимодействовать с преступниками напрямую.
Финансовые детали: платить или нет?
Официальных цифр о выплате выкупа не объявляли. Представитель Instructure, Брайан Уоттс, отказался комментировать детали сделки. На сайте ShinyHunters листинг с требованиями исчез уже в день публикации, что обычно свидетельствует о том, что деньги уже получены.
В листинге группировка писала: «Данные удалены, компания и её клиенты больше не будут целями для наших атак». Такой язык часто используется после получения выкупа, хотя доказательства «уничтожения» могут быть сомнительны.
Правительство США уже давно советует организациям не платить выкупы, так как это подпитывает киберпреступный рынок. Тем не менее, в реальной жизни многие школы и вузы находятся в безвыходном положении, когда от них зависят данные учеников и возможность продолжать обучение.
Сравнение с похожим случаем: PowerSchool
В 2024 году аналогичный инцидент затронул PowerSchool — еще одну крупную образовательную платформу. Хакеры украли данные более 70 млн учеников и учителей, а компания также заплатила выкуп. Позже часть клиентов PowerSchool вновь стала объектом вымогательства со стороны другой группы, которая раскрыла «неудалённые» данные.
Эти два примера показывают, что даже после выплаты выкупа риск не исчезает полностью: преступники могут хранить копии данных и использовать их в дальнейшем.
Реакция ФБР и рекомендации для школ
ФБР объявило, что осведомлено о перебоях в работе школ по всей стране, но название Canvas в официальных сообщениях не упоминалось. В заявлении говорилось, что жертвам не следует «откликаться» на требования преступников и не переводить деньги.
Эксперты советуют учебным заведениям:
- внедрять многофакторную аутентификацию;
- регулярно обновлять и патчить все серверы;
- вести резервные копии данных в изолированных хранилищах;
- проводить обучение персонала правилам кибербезопасности.
Эти шаги могут не предотвратить полностью атаки, но значительно снижают шансы успешного вымогательства.
Кто несёт ответственность внутри Instructure?
Официально компания не раскрыла, кто отвечает за киберзащиту после двойного инцидента. Руководитель компании Стив Дэли (Steve Daly) может быть вовлечен в вопросы безопасности, но он не комментировал возможность отставки.
Отсутствие прозрачности порождает вопросы у администраторов школ, использующих Canvas: как быстро будет восстановлена работа, кто будет информировать их о новых угрозах и как изменятся политики доступа?
Что должно сделать школьное сообщество сейчас
Если вы администратор Canvas или учитель, получивший уведомление о взломе, действуйте так:
- Сразу обновите пароли всех учетных записей, включив двухфакторную аутентификацию.
- Проверьте журналы входов на предмет подозрительной активности.
- Обратитесь в службу поддержки Instructure за свежей информацией о поправках.
- Сообщите родителям о потенциальных рисках раскрытия персональных данных.
- Подготовьте план действий на случай, если хакеры вновь попытаются вымогать деньги.
Важнее всего помнить, что киберугрозы – это не разовое событие, а процесс, требующий постоянного мониторинга.
Справка
Instructure — американская компания, основанная в 2008 году, известна в первую очередь своим продуктом Canvas, системой управления обучением (LMS). Продукт ныне используют тысячи учебных заведений по всему миру, а сам Instructure входит в список крупнейших edtech‑компаний.
Canvas — платформа LMS, позволяющая вести расписание, оценивать работы, вести коммуникацию между учениками и преподавателями. Считается одной из самых гибких и масштабируемых систем в образовании.
ShinyHunters — криминальная группа, ориентированная на финансовую выгоду. В 2024–2026 годах заявляла о нескольких крупных кражах данных и требовала выкуп в обмен на их «удаление».
PowerSchool — другая крупная американская edtech‑компания, поставляющая системы учёта успеваемости и управления школами. В 2024 году также стала жертвой ransomware‑атаки.
FBI Cyber Division — подразделение ФБР, отвечающее за расследование киберпреступлений, в том числе ransomware‑инцидентов в образовательном секторе.
Итоги таковы: двойной взлом Canvas показал уязвимость даже самых крупных образовательных сервисов. Платить выкуп — рискованно, но иногда единственный способ быстро восстановить работу школ. Главное — усилить защиту, обучать персонал и держать резервные копии, чтобы в следующий раз не попадать в ловушку.
