Nền tảng học trực tuyến Canvas (hệ thống quản lý học tập được sử dụng rộng rãi tại hàng nghìn trường học và đại học trên toàn cầu) vừa trở thành mục tiêu của một vụ tấn công mạng quy mô lớn do nhóm tin tặc ShinyHunters thực hiện. Sự cố đã khiến nhiều trường học rơi vào hỗn loạn đúng thời điểm thi cuối kỳ, đồng thời làm dấy lên lo ngại về nguy cơ rò rỉ dữ liệu cá nhân của hàng trăm triệu người dùng.
Theo các báo cáo quốc tế, vụ việc bắt đầu từ cuối tháng 4/2026 khi công ty Instructure (đơn vị vận hành Canvas) phát hiện các dấu hiệu bất thường liên quan đến hệ thống API và môi trường đám mây của nền tảng này. Không lâu sau đó, nhóm ShinyHunters tuyên bố đã đánh cắp khoảng 3,65 terabyte dữ liệu liên quan đến gần 275 triệu tài khoản thuộc khoảng 9.000 tổ chức giáo dục trên toàn thế giới.
Theo các báo cáo quốc tế, vụ việc bắt đầu từ cuối tháng 4/2026 khi công ty Instructure (đơn vị vận hành Canvas) phát hiện các dấu hiệu bất thường liên quan đến hệ thống API và môi trường đám mây của nền tảng này. Không lâu sau đó, nhóm ShinyHunters tuyên bố đã đánh cắp khoảng 3,65 terabyte dữ liệu liên quan đến gần 275 triệu tài khoản thuộc khoảng 9.000 tổ chức giáo dục trên toàn thế giới.
Nhiều trường đại học lớn bị ảnh hưởng
Canvas hiện là một trong những hệ thống quản lý học tập phổ biến nhất thế giới, được sử dụng để giao bài tập, thi trực tuyến, trao đổi giữa sinh viên và giảng viên, cũng như quản lý điểm số. Vì vậy, khi hệ thống bị gián đoạn, hàng loạt trường đại học lớn tại Mỹ như Harvard, Columbia, Rutgers, Yale hay University of Michigan đã bị ảnh hưởng trực tiếp trong giai đoạn thi cuối kỳ.
Nhiều sinh viên cho biết họ không thể truy cập bài kiểm tra, nộp bài tập hoặc liên hệ với giảng viên. Một số trường buộc phải hoãn lịch thi, chuyển sang email hoặc các nền tảng thay thế như Microsoft Teams để duy trì hoạt động học tập.
Không chỉ gây gián đoạn dịch vụ, tin tặc còn bị cáo buộc đã thay đổi giao diện đăng nhập của một số cổng Canvas để hiển thị thông điệp đòi tiền chuộc. Nội dung cảnh báo yêu cầu Instructure “đàm phán trước ngày 12/5” nếu không dữ liệu sẽ bị công khai trên mạng.
Dữ liệu nào đã bị đánh cắp?
Theo xác nhận từ Instructure, các dữ liệu bị truy cập trái phép bao gồm tên, địa chỉ email, mã số sinh viên và các tin nhắn trao đổi giữa người dùng trên hệ thống. Công ty cho biết hiện chưa có bằng chứng cho thấy mật khẩu, thông tin tài chính, giấy tờ chính phủ hay ngày sinh bị lộ.
Dù vậy, các chuyên gia an ninh mạng cảnh báo lượng dữ liệu bị đánh cắp vẫn đặc biệt nguy hiểm bởi nó có thể được sử dụng để thực hiện các chiến dịch lừa đảo có chủ đích. Khi tin tặc nắm được thông tin học tập, mối quan hệ giữa sinh viên – giảng viên và nội dung trao đổi nội bộ, chúng có thể tạo ra các email hoặc tin nhắn giả mạo với độ tin cậy rất cao.
Một số chuyên gia cho rằng đây là dạng tấn công “pay or leak” (trả tiền hoặc bị phát tán dữ liệu) đang ngày càng phổ biến trong các chiến dịch ransomware hiện đại. Thay vì chỉ mã hóa dữ liệu như ransomware truyền thống, các nhóm tin tặc hiện nay còn đánh cắp dữ liệu trước, sau đó dùng sức ép truyền thông và đe dọa công khai thông tin để buộc nạn nhân trả tiền chuộc.
Dù vậy, các chuyên gia an ninh mạng cảnh báo lượng dữ liệu bị đánh cắp vẫn đặc biệt nguy hiểm bởi nó có thể được sử dụng để thực hiện các chiến dịch lừa đảo có chủ đích. Khi tin tặc nắm được thông tin học tập, mối quan hệ giữa sinh viên – giảng viên và nội dung trao đổi nội bộ, chúng có thể tạo ra các email hoặc tin nhắn giả mạo với độ tin cậy rất cao.
Một số chuyên gia cho rằng đây là dạng tấn công “pay or leak” (trả tiền hoặc bị phát tán dữ liệu) đang ngày càng phổ biến trong các chiến dịch ransomware hiện đại. Thay vì chỉ mã hóa dữ liệu như ransomware truyền thống, các nhóm tin tặc hiện nay còn đánh cắp dữ liệu trước, sau đó dùng sức ép truyền thông và đe dọa công khai thông tin để buộc nạn nhân trả tiền chuộc.
ShinyHunters là ai?
ShinyHunters là nhóm tội phạm mạng nổi tiếng từng liên quan đến nhiều vụ rò rỉ dữ liệu lớn trong những năm gần đây. Nhóm này thường nhắm vào các nền tảng có lượng người dùng lớn, đánh cắp cơ sở dữ liệu rồi đăng tải thông tin lên các diễn đàn hoặc website ngầm nhằm gây áp lực lên nạn nhân.
Trong vụ Canvas, ShinyHunters được cho là đã nhiều lần leo thang sức ép bằng cách công khai danh sách các trường bị ảnh hưởng, thay đổi giao diện đăng nhập và liên tục gia hạn thời hạn đòi tiền chuộc.
Trên các diễn đàn Reddit, nhiều quản trị viên hệ thống và sinh viên cho biết toàn bộ hoạt động học tập bị đình trệ trong nhiều giờ, thậm chí nhiều ngày. Một số người mô tả đây là “cơn ác mộng đúng mùa thi”.
Trong vụ Canvas, ShinyHunters được cho là đã nhiều lần leo thang sức ép bằng cách công khai danh sách các trường bị ảnh hưởng, thay đổi giao diện đăng nhập và liên tục gia hạn thời hạn đòi tiền chuộc.
Trên các diễn đàn Reddit, nhiều quản trị viên hệ thống và sinh viên cho biết toàn bộ hoạt động học tập bị đình trệ trong nhiều giờ, thậm chí nhiều ngày. Một số người mô tả đây là “cơn ác mộng đúng mùa thi”.
Nguy cơ từ các nền tảng giáo dục số
Sự cố lần này cho thấy các nền tảng giáo dục trực tuyến đang trở thành mục tiêu hấp dẫn đối với tội phạm mạng. Không chỉ chứa dữ liệu cá nhân của sinh viên và giảng viên, các hệ thống này còn lưu trữ nội dung học tập, bài kiểm tra, tài liệu nội bộ và nhiều thông tin nhạy cảm khác.
Đặc biệt, việc hàng nghìn tổ chức cùng phụ thuộc vào một nền tảng trung tâm như Canvas khiến quy mô ảnh hưởng trở nên cực kỳ lớn nếu xảy ra sự cố bảo mật. Chỉ một điểm yếu trong hệ thống cũng có thể kéo theo hàng triệu người dùng bị tác động cùng lúc.
Hiện Instructure cho biết đang phối hợp với các cơ quan thực thi pháp luật và chuyên gia an ninh mạng để điều tra vụ việc, đồng thời tăng cường giám sát, thu hồi khóa truy cập và vá các lỗ hổng liên quan.
Đặc biệt, việc hàng nghìn tổ chức cùng phụ thuộc vào một nền tảng trung tâm như Canvas khiến quy mô ảnh hưởng trở nên cực kỳ lớn nếu xảy ra sự cố bảo mật. Chỉ một điểm yếu trong hệ thống cũng có thể kéo theo hàng triệu người dùng bị tác động cùng lúc.
Hiện Instructure cho biết đang phối hợp với các cơ quan thực thi pháp luật và chuyên gia an ninh mạng để điều tra vụ việc, đồng thời tăng cường giám sát, thu hồi khóa truy cập và vá các lỗ hổng liên quan.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
