Canvas genetableret efter hackerangreb – gratis lærerkonti blev indgang for ShinyHunters
Læringsplatformen Canvas er igen tilgængelig, efter et hackerangreb i sidste uge førte til en global nedlukning, der ramte tusindvis af skoler og universiteter. Instructure, der står bag Canvas, oplyser nu, at angrebet blev muliggjort gennem misbrug af såkaldte Free‑For‑Teacher-konti – et gratis tilbud, som midlertidigt er taget helt offline.
Det skriver mediet PCmag.
Platformen blev lukket ned, efter hackergruppen ShinyHunters placerede en afpresningsbesked direkte i Canvas’ miljø. Ifølge Instructure var der tale om en forsigtighedsforanstaltning. Virksomheden understreger, at der ikke er fundet tegn på datatyveri i forbindelse med den seneste hændelse i maj. Til gengæld blev der under et tidligere indbrud den 29. april eksfiltreret brugerdata.
Data stjålet ved april‑angreb
Ved indtrængen i april fik angriberne adgang til navne, e‑mailadresser, studienumre samt beskeder udvekslet mellem brugere på Canvas. Der er ifølge Instructure ikke kompromitteret adgangskoder eller finansielle oplysninger, men indholdet af interne beskeder kan være følsomt – særligt fordi Canvas også anvendes bredt i grundskoler og ungdomsuddannelser.
Malware‑ og arkivtjenesten VX Underground vurderer, at der ikke er tale om klassisk højsensitive data, men peger på, at eksponering af kommunikation mellem elever og undervisere kan få alvorlige konsekvenser. Især fordi oplysninger om mindreårige kan være blandt de stjålne data.
Gratis konti som angrebsflade
Instructure har ikke offentliggjort detaljer om den konkrete sårbarhed, men bekræfter, at Free‑For‑Teacher-kontiene spillede en central rolle. Det gratis spor, som giver undervisere adgang til Canvas uden institutionsaftale, ser ud til at have haft en mindre restriktiv sikkerhedsprofil.
ShinyHunters er kendt for at kombinere tekniske angreb med social engineering, herunder impersonation af medarbejdere for at opnå udvidede rettigheder. Om denne metode er brugt i sagen, er ikke bekræftet, men hændelsen understreger et velkendt problem: Legitimate konti er ofte den mest effektive indgang for angribere.
Gentagen adgang og afpresning
Ifølge Instructure blev angriberne fjernet efter april‑angrebet, men ShinyHunters formåede i begyndelsen af maj at genetablere adgangen for at placere afpresningsbeskeden. Det udløste den globale nedlukning, som altså også påvirket KU og CBS her i Danmark.
PCmag skriver, at det er uklart, om Instructure har betalt en løsesum. ShinyHunters har siden fjernet Instructure fra deres læk‑site, hvilket i tidligere sager er blevet tolket som tegn på en aftale. Begge parter afviser at kommentere spørgsmålet. FBI har i den forbindelse gentaget sin anbefaling om ikke at betale løsepenge og advarer mod uopfordrede henvendelser, der udgiver sig for at komme fra Canvas eller uddannelsesinstitutioner.
Drift og tillid
Nedlukningen ramte midt i en travl periode for mange uddannelsesinstitutioner. Studerende og undervisere havde i timevis ikke adgang til undervisningsmaterialer, og flere steder blev eksamener udskudt.
På længere sigt har hændelsen rejst spørgsmål om risici ved gratis adgangsmodeller og alternative kontotyper. Canvas er en kritisk platform i mange uddannelsesmiljøer, og hændelsen har tydeliggjort, hvordan identitetsbaserede angreb kan få vidtrækkende konsekvenser.
Status nu
Instructure oplyser, at eksterne specialister ikke har fundet tegn på, at angriberne fortsat har adgang til platformen. Canvas betegnes som sikker at anvende, og berørte institutioner bliver kontaktet direkte, hedder det. Samtidig arbejdes der på at styrke sikkerheden, før Free‑For‑Teacher-tilbuddet eventuelt genåbnes.
Ifølge ShinyHunters har gruppen tidligere haft adgang til næsten 9.000 organisationer, herunder skoler og universiteter, hvilket antyder, at hændelsen potentielt har ramt millioner af brugere. Det præcise omfang er dog fortsat uklart.