Tin tức bảo mật mới nhất cho thấy Instructure đã xác nhận hoạt động trái phép trên nền tảng Canvas sau khi phát hiện truy cập bất thường vào ngày 29/04/2026. Sự cố này liên quan đến rò rỉ dữ liệu từ hệ thống Canvas LMS, bao gồm tên người dùng, địa chỉ email, mã số sinh viên và một số tin nhắn riêng tư giữa người dùng Canvas.
Diễn biến sự cố trên Canvas LMS
Trong đầu tháng 5/2026, Instructure xác nhận có xâm nhập trái phép vào Canvas platform. Dữ liệu bị lộ được mô tả là ảnh hưởng đến hàng nghìn trường trên toàn cầu, với thông tin nhận dạng người dùng và nội dung trao đổi nội bộ trên Canvas.
Sự cố này không phải là lần đầu hệ thống của Instructure bị nhắm tới. Trước đó, cùng nhóm đã từng tấn công vào các hệ thống kinh doanh khác của công ty, nhưng không ảnh hưởng trực tiếp đến dữ liệu Canvas product. Đợt tấn công tháng 5/2026 là một tấn công mạng trực diện vào nền tảng Canvas, khiến mức độ nghiêm trọng tăng lên rõ rệt.
Phạm vi ảnh hưởng của lỗ hổng vận hành và truy cập
Điểm đáng chú ý không nằm ở một lỗ hổng CVE cụ thể, mà ở cách kẻ tấn công khai thác mô hình tài khoản Free-For-Teacher. Chương trình này cho phép giáo viên tạo tài khoản Canvas mà không cần xác minh từ đơn vị giáo dục, nhưng các tài khoản đó vẫn chạy trên hạ tầng sản xuất chung với khách hàng tổ chức.
Các tài khoản này được tách biệt về mặt logic, nhưng vẫn dựa trên cùng hệ thống. Điều đó làm xuất hiện một nguy cơ bảo mật khi tài khoản bị xâm phạm có thể hoạt động như người dùng hợp lệ trong môi trường Canvas.
Các mốc thời gian chính
- 29/04/2026: Phát hiện truy cập đáng ngờ trên Canvas.
- 30/04 – 08/05/2026: Cửa sổ phơi nhiễm dữ liệu.
- 03/05/2026: Bắt đầu chiến dịch tống tiền công khai.
- 08/05/2026: Tắt tạm thời Canvas, Canvas Beta và Canvas Test để điều tra.
- 09/05/2026: Khôi phục dịch vụ.
- 12/05/2026: Hạn chót tống tiền được gia hạn.
Dữ liệu bị lộ
Instructure xác nhận các loại dữ liệu sau đã bị truy cập trái phép:
- Tên người dùng
- Địa chỉ email
- Mã số sinh viên
- Một số tin nhắn riêng tư giữa người dùng Canvas
Nhà cung cấp cũng cho biết chưa có bằng chứng cho thấy các dữ liệu sau bị lộ:
- Mật khẩu
- Ngày sinh
- Định danh chính phủ
- Thông tin tài chính
Theo công bố từ bên tấn công, dữ liệu được mô tả gồm khoảng 3,6 TB cho 285 triệu người dùng tại 9.000 trường. Tuy nhiên, các con số này chưa được Instructure xác nhận.
Phân tích phương thức xâm nhập
Tài liệu tình báo mối đe dọa cho thấy nhóm này thường hoạt động theo mô hình extortion-as-a-service. Kỹ thuật ban đầu chủ yếu dựa trên voice phishing và social engineering, thường mạo danh bộ phận IT hoặc nhân sự nội bộ đáng tin cậy.
Trong vụ việc này, kẻ tấn công đã lợi dụng khoảng trống vận hành liên quan đến tài khoản Free-For-Teacher. Một tài khoản bị chiếm quyền có thể có mẫu truy cập gần như giống hệt giáo viên hợp lệ đang thử nghiệm Canvas trước khi trường triển khai chính thức.
Cách truy cập này khiến việc phát hiện xâm nhập trở nên khó hơn, vì hành vi không khác nhiều so với người dùng hợp lệ. Đây là yếu tố làm tăng rủi ro an toàn thông tin đối với hệ thống LMS có mô hình chia sẻ hạ tầng tương tự.
Ảnh hưởng kỹ thuật đối với hệ thống
Việc truy cập trái phép vào dữ liệu sản xuất Canvas có thể dẫn đến:
- Rò rỉ dữ liệu nhạy cảm từ thông tin người dùng và nội dung trao đổi.
- Phishing cá nhân hóa nhắm vào sinh viên, giảng viên và nhân viên.
- Giả mạo ngữ cảnh học tập bằng cách sử dụng dữ liệu thật trong email lừa đảo.
- Nguy cơ thay đổi giao diện đăng nhập nếu có quyền ghi đủ cao trong một số trường hợp.
Các email lừa đảo có thể tham chiếu khóa học cụ thể, trích nội dung tin nhắn thật hoặc nhắc đến mã số sinh viên để tạo độ tin cậy giả. Đây là dạng tấn công mạng có khả năng vượt qua sự cảnh giác của người dùng cuối tốt hơn so với phishing thông thường.
Chỉ số IOC và dấu hiệu cần theo dõi
Phần tài liệu gốc không cung cấp IOC theo dạng IP, domain hay hash cụ thể. Do đó, IOC có thể trích xuất ở mức hành vi và chỉ dấu vận hành như sau:
- Hoạt động đăng nhập bất thường từ tài khoản Free-For-Teacher trong khoảng 30/04 – 08/05/2026.
- Truy cập từ email ngoài miền tổ chức vào courses hoặc messages.
- Thay đổi trái phép trên trang đăng nhập tại một số tenant Canvas.
- Email giả mạo Canvas có nội dung liên quan đến khóa học, tin nhắn riêng tư hoặc mã số sinh viên.
Note: IP addresses and domains are intentionally defanged (e.g., [.]) to prevent accidental resolution or hyperlinking. Re-fang only within controlled threat intelligence platforms such as MISP, VirusTotal, or your SIEM.
Biện pháp ứng phó và cập nhật bản vá vận hành
Instructure khuyến nghị các đơn vị sử dụng Canvas thực hiện các bước sau để giảm nguy cơ bảo mật:
- Luân chuyển API credentials và các khóa đặc quyền.
- Giám sát email lừa đảo có vẻ đến từ Canvas.
- Kiểm tra trang đăng nhập để phát hiện thay đổi trái phép.
- Cảnh báo người dùng gồm sinh viên, giảng viên và nhân viên ngay lập tức.
- Rà soát log Canvas với các tài khoản dùng email bên ngoài trong cửa sổ phơi nhiễm.
Đồng thời, chương trình Free-For-Teacher đã bị ngừng vĩnh viễn. Đây là hành động đóng bề mặt tấn công liên quan đến mô hình tài khoản dùng chung hạ tầng sản xuất. Người quản trị nên theo dõi phát hiện tấn công ở cấp ứng dụng và nhật ký truy cập để xác định các dấu hiệu tương tự.
Tham chiếu tình báo và nguồn theo dõi
Các phân tích liên quan đến chiến dịch này có thể đối chiếu thêm với tài liệu công khai từ NVD tại https://nvd.nist.gov/ để tra cứu bối cảnh về lỗ hổng CVE, CVSS và chuỗi khai thác nếu xuất hiện IOC hoặc advisory bổ sung.
Trong tình huống này, trọng tâm của tin bảo mật mới nhất không nằm ở mã khai thác zero-day, mà ở việc chiếm dụng tài khoản hợp lệ, khai thác mô hình vận hành và sử dụng dữ liệu thật cho các chiến dịch lừa đảo tiếp theo.
