Mosaic VPN LogoMosaic VPN
لوحة التحكمابدأ الآن
العودة إلى المدونة
أمانخصوصيةتسريب بياناتتعليمتصيّد

"275 مليون طالب في مرمى النيران: ماذا يعني اختراق Canvas / Instructure"

Mosaic Teamتاريخ النشر: 11 مايو 2026
صفوف من أجهزة الكمبيوتر المحمولة في قاعة محاضرات جامعية، تجسّد حجم تسريب Canvas / Instructure

اللغات المتاحة

ENZHRUESARID

في الأسبوع الأول من مايو 2026، أعلنت مجموعة الابتزاز المعروفة باسم ShinyHunters أنها اخترقت Instructure، الشركة التي تقف خلف Canvas — نظام إدارة التعلّم الذي يستخدمه 41% من مؤسسات التعليم العالي في الولايات المتحدة، بالإضافة إلى عدد كبير من مدارس K-12 وجامعات بارزة حول العالم من هارفارد إلى جامعة سنغافورة الوطنية. يدّعي المهاجمون أنهم سرقوا البيانات الشخصية لـ 275 مليون مستخدم في حوالي 8800 مدرسة ووزارة ومؤسسة تعليمية، إلى جانب مليارات الرسائل الخاصة المتبادلة بين الطلاب والمعلمين وأولياء الأمور والإداريين.

اكتشفت Instructure الاختراق في 1 مايو، وأعلنت في اليوم التالي أنه قد جرى "احتواؤه"، وأكّدت خلال الأسبوع التالي أن الأسماء وعناوين البريد الإلكتروني وأرقام الطلاب والرسائل بين المستخدمين قد كُشفت في المؤسسات المتأثرة. طالبت ShinyHunters علناً بفدية في 3 مايو مع موعد نهائي صارم في 12 مايو قبل أن تُنشر البيانات أو تُباع. في 7 مايو ادّعت المجموعة اختراقاً ثانياً وشوّهت صفحات تسجيل الدخول لعدة مدارس؛ وقع موقع Canvas الخاص بهارفارد، وحدث الهجوم في منتصف أسبوع الامتحانات النهائية لشريحة هائلة من الطلاب الأمريكيين.

إن كنت قد درست أو دَرَّستَ يوماً عبر Canvas — في أي جامعة أو كلية مجتمعية أو مدرسة K-12 تستخدمه — فثمة احتمال غير ضئيل بأن اسمك وبريدك الجامعي ورقم الطالب الخاص بك ومحتوى رسائلك الخاصة مع زملائك ومعلميك قد أصبحت بيد جهة أخرى. تشرح هذه المقالة بالضبط ما الذي يحتويه التسريب، ولماذا تُعدّ البيانات التعليمية أكثر سُمّاً من معظم خروقات البيانات المعتادة، وتقدّم مجموعة صغيرة من العادات الملموسة التي تجعل منك هدفاً أصعب بكثير قبل أن تصلك حتماً موجة الاحتيال التالية.

ما الذي تسرّب

يتفق إفصاح Instructure الرسمي مع تقارير CNN وTechCrunch وBleeping Computer وInside Higher Ed وHarvard Crimson على أن صورة البيانات المسرّبة هي تقريباً كالتالي:

الفئةفي التسريب؟
الاسم الكاملنعم
البريد الإلكتروني الجامعي / المدرسينعم
البريد الإلكتروني الشخصي (إن وُجد في السجل)نعم
رقم الطالبنعم
الانتماء المؤسسينعم — أي مدرسة، أي مساق، أي دور
الرسائل الخاصة بين المستخدميننعم — مليارات الرسائل وفق ادعاء ShinyHunters
أسماء المساقات، الإشارات إلى المنهج، عناوين الواجباتغالباً ما تظهر في سياق الرسائل
منشورات وتعليقات لوحات النقاشحيث وصلت إلى صناديق Canvas
كلمات المرور / تجزئاتها (Hashes)لا — ليست ضمن البيانات المتأثرة
تاريخ الميلادلا
الهويات الحكومية (SSN، جواز السفر)لا
المعلومات المالية / الدفعلا

كون كلمات المرور وتواريخ الميلاد والمعلومات المالية ظاهرياً ليست في التسريب هو خبر سار حقيقي. لكن افهم ما الذي في التسريب: أرشيف كامل لكيفية تواصل جيل من الطلاب والمربّين فيما بينهم، مرتبط بأسمائهم الحقيقية ومدارسهم وأرقام طلابهم. هذه فئة تسريب مختلفة تماماً عن "تسريبات أرقام البطاقات" التي اعتاد الجمهور تخيّلها.

"لا نملك كلمة مرورك. نملك ما قلتَه حين كنتَ تظن أن قاعة الندوة وحدها تقرأه."

هذا الفارق هو ما يجعل تسريب نظام إدارة التعلّم خطراً بشكل استثنائي.

لماذا تُعدّ تسريبات بيانات التعليم سامّة بشكل خاص

تتعامل معظم استعراضات الخروقات مع كل السجلات المسرّبة باعتبارها متكافئة تقريباً — أسماء، بريد إلكتروني، أرقام هواتف. نظام إدارة التعلّم نوع آخر تماماً. ثلاث خصائص تجعل بيانات Canvas ذات قيمة استثنائية للمهاجم:

1. إنها محادثات لا معاملات

معظم التسريبات تكشف صفوفاً في قاعدة بيانات. أما Canvas فقد كشف محادثات — سلاسل طويلة عن الواجبات والدرجات وتسهيلات الصحة النفسية والخلافات مع الزملاء وطلبات تأجيل التسليم وتنسيق رسائل التوصية ومناوشات مجموعات المذاكرة. صار المهاجم يعرف نبرتك، وجهات اتصالك المتكررة، والأساتذة الذين تثق بهم، واللغة التي تستعملها معهم. صياغة رسالة متابعة تُقرأ كاستكمال لخيط حقيقي صارت في متناول اليد.

2. إنها تربط فئة هشّة بقناة عالية الثقة

الطلاب — وخاصة طلاب السنة الأولى الجامعية والقُصّر في K-12 — من أكثر الفئات استهدافاً بالاحتيال، من المنح الوهمية و"إعفاء قروض الطلاب" المزعوم، إلى عمليات الاحتيال العاطفي ومخططات "العمل عن بُعد" لغسل الأموال. كان على المحتالين حتى الآن مراسلتهم بشكل بارد. بعد هذا التسريب، يمكن للمهاجم أن يراسل طالباً من بريده الجامعي الحقيقي، مستشهداً برمز مساق فعلي، ومُسمّياً مدرّساً حقيقياً يتلقى الطالب درسه عنده. ارتفع سقف المصداقية لأي محاولة تصيّد ضد الطلاب ارتفاعاً حاداً.

3. إنها متعددة الأجيال

Canvas ليس للطلاب وحدهم. المعلمون والأساتذة ومساعدو التدريس وأولياء الأمور (في بوابات K-12) والإداريون كلهم في نفس مجموعة البيانات، وغالباً ما يكونون مرتبطين فيما بينهم. مهاجم يعرف أن ولي الأمر A هو والد الطفل B في صف المعلم C في المدرسة D يستطيع كتابة "مرحباً، أنا المعلم C — لم يسلّم ابنك واجباً، الرجاء تأكيد بيانات التواصل" بطريقة يستحيل تقريباً تمييزها عن الرسالة الحقيقية — خاصة لدى الأهل غير التقنيين، المهيّئين عاطفياً للتفاعل مع أي شيء يخص المدرسة.

لذلك فإن ادّعاء مليارات الرسائل الخاصة ادّعاء ذو ثقل حقيقي. حتى لو كان الجزء الحساس فيه نسبة صغيرة، فإن كومة القش ذاتها تتحول إلى سلاح: أدوات التعلم الآلي قادرة على تمشيطها بسرعة استخراج تلك السطور التي تصلح للاستغلال الفوري.

سيناريو الاحتيال المتوقع خلال الأشهر القادمة

سواء أُفرغت بيانات Instructure كاملة في العلن أم لم تُفرغ، يقول التاريخ إن عمليات الاحتيال اللاحقة ستتدحرج تقريباً بهذا الترتيب:

1. "Re: استفسارك الأخير عن المساق"

رسالة بنمط "ردّ" تبدو كاستكمال لسلسلة Canvas حقيقية، تستشهد برمز مساق يبدو حقيقياً، وتطلب منك "التحقق من حسابك" أو "تأكيد التسجيل" عبر رابط. ستستضيف نطاقات شبيهة مثل canvas-login-portal.com أو university-instructure.net صفحة التصيّد.

2. ذرائع المساعدات المالية والرسوم الدراسية

"تعذّر معالجة دفعة المساعدة المالية الخاصة بك. لتجنّب فقدان تسجيلك، يرجى تحديث بيانات الدفع." ولأن المهاجم يعرف مؤسستك التعليمية تحديداً، فإن الصياغة دقيقة. أما الإصدارات الموجّهة لأولياء الأمور فستذكر رسوم K-12 وحساب المقصف وتصاريح الرحلات.

3. منح وهمية و"إعفاء قروض الطلاب"

استناداً إلى بيانات المؤسسة والبرنامج في التسريب، يستطيع المهاجم استهداف طالب بعرض مُعدّل وفق تخصصه وسنته الحقيقيين — "منحة بقيمة 10,000 دولار مخصصة لطلاب السنة الثالثة في [برنامجك الفعلي]". الرابط يحصد بيانات الاعتماد أو البيانات المصرفية أو كليهما.

4. انتحال هوية أساتذة فعليين

تستخدم الهجمات الأعلى جهداً أرشيف الرسائل ذاته: "مرحباً، أنا الأستاذ X متابعاً حديثنا حول درجتك غير المكتملة. أحتاج منك تعبئة هذا النموذج قبل الجمعة." لقد قرأ المهاجم الخيط السابق. النبرة متطابقة. الطلب محدد. وعلى عكس التصيّد العام، يصعب تجاهلها دون التحقق عبر قناة أخرى.

5. تجريب بيانات الاعتماد على أدوات تعليمية مجاورة

حتى دون كلمات مرور في التسريب، فإن ثلاثي بريد + مؤسسة + دور ذهب لمحاولات الدخول على الخدمات المجاورة — Blackboard وGoogle Workspace for Education وOutlook الجامعي وProctorU وTurnitin وبوابات المساعدات المالية. كلمات المرور القديمة من تسريبات سابقة تُجرَّب على افتراض أن الطلاب يعيدون استخدام كلمات المرور بين خدمات SaaS التعليمية.

6. احتيال موجّه ضد العاملين في القطاع التعليمي

تشمل المؤسسات الـ 8800 في مجموعة البيانات صناديق بريد الموظفين وأعضاء هيئة التدريس. توقّع تصيّداً موجّهاً لفِرَق الموارد البشرية وتقنية المعلومات والمشتريات باستخدام مصطلحات داخلية مأخوذة من رسائل Canvas حقيقية — أسماء لجان وأكواد مساقات وتواريخ فصول دراسية — طوال ما تبقى من 2026.

ماذا تفعل إن كنتَ طالباً أو ولي أمر أو معلماً

خمس خطوات ملموسة، مرتبة حسب الأولوية:

  1. اعتبر أي بريد أو اتصال غير متوقع من "Canvas" أو "Instructure" أو "مدرستك" عدائياً حتى يثبت العكس. افتح بوابة مدرستك مباشرة في المتصفح — لا تضغط على أي رابط في رسالة. إن ادّعت الرسالة استكمال محادثة Canvas، فسجّل دخولك إلى Canvas وانظر إلى السلسلة الفعلية داخله، لا النسخة الملصقة في البريد.
  2. غيّر كلمة مرور حسابك المدرسي وأي حساب يشترك معه في البريد. رغم أن كلمات مرور Canvas لا تبدو ضمن هذا التسريب، فإن ثنائي "البريد + المؤسسة" هو بالضبط ما سيجرّبه المهاجمون على بقية حساباتك. استخدم مدير كلمات مرور وفعّل المصادقة الثنائية بتطبيق مُولِّد رموز كلما كان ذلك متاحاً.
  3. أحكم إعدادات استرداد بريدك الجامعي. تأكد من أن رقم هاتف الاسترداد والبريد الاحتياطي على حسابك .edu (أو ما يعادله) لا يزالان في يدك. وإن كانت مؤسستك تدعم مفاتيح الأمان، فعّلها — الطلاب وأعضاء هيئة التدريس أهداف مفضّلة لاختطاف الحسابات.
  4. تحدّث مع الصغار وأولياء الأمور في منزلك. أطفال K-12 وأولياء أمورهم هم الجزء الأكثر هشاشة في هذه البيانات. اشرح لهم شكل الرسالة المزيفة من Canvas، وذكّرهم بأن المعلم الحقيقي لا يطلب بيانات دفع ولا أرقام هوية ولا كلمات مرور عبر البريد.
  5. خُذ حذرك من رؤوس "Re:" و"Fwd:" من مرسلين لا تتذكرهم تماماً. يحب المهاجمون هذه الصياغة لأن الدماغ يقرأها كاستكمال لمحادثة سابقة. إن كنتَ لا تستطيع تذكّر الرسالة الأصلية بوضوح، فإنها لم تكن موجودة.

القصة الأعمق: تكنولوجيا التعليم صارت هدفاً من الدرجة الأولى

لم يُخترق Canvas لأن طفلاً كتب كلمة مرور على ورقة لاصقة. اخترق لأن برمجيات التعليم كخدمة أصبحت في صمتٍ واحدةً من أكبر تجمّعات البيانات الشخصية الضعيفة الحماية في العالم، وقد لاحظ ذلك مرتزقة الفدية.

النمط مألوف لمن يتابع تقارير الخروقات في 2026. مكتب دعم Adobe الخارجي سرّب 13 مليون تذكرة بسبب موظف واحد وقع ضحية تصيّد. شبكة شركاء Booking.com سرّبت بيانات السفر. خسرت Cushman & Wakefield نصف مليون سجل Salesforce لصالح ShinyHunters نفسها. وعانت مدارس Wake County في كارولاينا الشمالية من حادث Canvas / PowerSchool في أبريل. اختراق Instructure هو السيناريو نفسه، فقط بحجم يفرض المحادثة أخيراً: البيانات الأكثر حساسية تعبر أيدي أكثر بكثير من العلامة التجارية المطبوعة على العلبة.

بالنسبة للطلاب وأولياء الأمور، هناك خلاصة مزعجة لكنها مفيدة: كل رسالة على Canvas، كل تبرير عن واجب متأخر، كل طلب تسهيل، هو إيداع صغير من البيانات في نظام لا تتحكم فيه ولا تستطيع تدقيقه. الأمين قد يكون موّرداً لم تسمع به قط، في منطقة لم تكن تعلم أن بياناتك تعالَج فيها. وعندما يقع هذا الأمين ضحية تصيّد، تجد نفسك في التسريب — رغم أن علاقتك كانت مع مدرستك لا معه.

لا يمكنك الإفلات من هذا الواقع بالتدقيق وحده. ما تستطيع فعله هو تقليل ذيل السياق الذي تتركه خلفك، وتحصين حدود الشبكة والحساب التي تقع فعلاً تحت سيطرتك.

قائمة عملية لتحصين الخصوصية

استخدمها بمعدّل مرة واحدة كل فصل دراسي. معظمها يحتاج إلى أمسية واحدة.

نظافة الحسابات

  • اجرد الحسابات المرتبطة ببريدك المدرسي. لدى معظم الطلاب عشرات منها — خدمات مراقبة الامتحانات، تجارب أدوات تعليمية، تطبيقات دروس خصوصية. أغلق ما لم تعد تستخدمه.
  • مرّر كل حساب عبر مدير كلمات مرور بكلمات فريدة ومولّدة. إعادة الاستخدام هي العامل الأكبر في تضخيم أي تسريب.
  • فعّل المصادقة الثنائية أينما عُرضت، عبر تطبيق مُولِّد رموز لا عبر الرسائل القصيرة — يمكن تجاوز مصادقة SMS بهجوم مبادلة شريحة (SIM swap).
  • اضبط تنبيهات haveibeenpwned.com لبريدك المدرسي ولبريدك الشخصي معاً، حتى تعلم بأي تسريب قادم يوم الإعلان عنه لا يوم وصول الاحتيال إلى صندوقك.

نظافة البريد

  • عامِل أي بريد غير متوقع من "بوابة المدرسة" بوصفه عدائياً افتراضياً. تحقّق بالدخول إلى Canvas أو نظام شؤون الطلاب مباشرة.
  • حُك المؤشر فوق الرابط قبل النقر — النطاقات الشبيهة نادراً ما تصمد أمام نظرة فاحصة.
  • احذر بشكل خاص من خيوط "Re:" التي لا تتذكر بدئها. المتابعات الحقيقية تعيش داخل Canvas، لا في صندوق بريدك فقط.
  • بلّغ واحذف، لا تردّ. الردّ على رسالة تصيّد يثبت أن العنوان نشط ويستجلب المزيد.

نظافة الشبكة

  • شفّر حركة بياناتك على شبكات لا تثق بها كلياً. Wi-Fi السكن الجامعي، Wi-Fi قاعات المحاضرات، Wi-Fi المكتبة، وخصوصاً شبكات المؤتمرات والسفر، ليست آمنة افتراضياً.
  • أبقِ استعلامات DNS داخل النفق المُشفَّر، حتى لا يتمكن جهاز توجيه مخترق في الجامعة أو المقهى من إعادة توجيهك إلى صفحة Canvas مزيفة.
  • عطّل الانضمام التلقائي إلى الشبكات غير المعروفة. أسماء SSID المقلّدة (Eduroam_Free، Library_Guest) قناة تصيّد رخيصة وثابتة في الحرم الجامعي المزدحم.

السيطرة على الضرر

  • إذا شككتَ في الاختراق: غيّر كلمة المرور أولاً، ثم رموز استرداد المصادقة الثنائية، ثم بريد الاسترداد. الترتيب مهم — تغيير كلمة المرور دون لمس بريد الاسترداد يترك الباب الخلفي مفتوحاً.
  • راقب كشف حسابك بحثاً عن مبالغ "اختبارية" صغيرة في الأيام التي تلي تسريباً معروفاً. يتأكد المهاجمون من صلاحية البطاقة بعملية بقيمة دولار قبل تنفيذ احتيال أكبر.
  • لا تحذف رسائل التصيّد فوراً. احتفظ بها في مجلد مخصص حتى تتأكد من توقف النشاط — ستفيدك كدليل لاحقاً عند الطعن بمبلغ مدفوع أو إبلاغ قسم التقنية في مدرستك بمحاولة الانتحال.

أين يقع Mosaic VPN في الصورة

شبكة VPN لا تمنع مزوّداً مثل Instructure من الوقوع في فخ تصيّد. لكنها تُقلّص مساحة الهجوم على كل الجوانب الأخرى من حياتك الرقمية، خاصة حين تبدأ موجة التصيّد التالية في الوصول إلى شبكات السكن الجامعي والمكتبات والمقاهي حيث يدرس الطلاب فعلاً.

  • تشفير AES-256 — حركة بياناتك على Wi-Fi السكن والمكتبة والفندق والمطار والمقهى مشفّرة من طرف إلى طرف، فلا يستطيع شخص آخر على الشبكة قراءة جلستك أو اختطافها.
  • تشفير منخفض التكلفة — تأثير ضئيل على الأداء، حتى تبقى محاضرات الفيديو والتنزيلات البحثية الكبيرة وبثّ 4K سلسة.
  • Kill Switch — في حال انقطع النفق، يُحجب كل ترافيك حتى يعود، فلا يتسرب شيء إلى أي شبكة جامعية وجدت نفسك فيها.
  • حماية من تسريب DNS — استعلاماتك تبقى داخل النفق، فلا يستطيع جهاز توجيه مهيّأ بسوء أو بوابة مأسورة معادية إعادة توجيهك إلى صفحة Canvas أو صفحة مساعدات مالية مزيفة.
  • شبكة خوادم عالمية — خوادم خروج في عشرات الدول تتيح للطلاب الدوليين والباحثين المسافرين الوصول إلى الخدمات التي يحتاجونها فعلاً، حتى عندما تكون الشبكة المحلية مفلترة أو بطيئة أو موضع شك.

اعتبره الطبقة التي تبقى ثابتة بصرف النظر عن المورّد الذي تثق به مدرستك هذا الفصل. لا تستطيع تدقيق البنية التحتية لـ Instructure. لكن تستطيع أن تتحكم بأن تكون الشبكة بينك وبين بقية الإنترنت لك أنت.

الخلاصة

اختراق Canvas مثال نظيف على تحول هادئ لكنه مهم في طريقة تسرّب بيانات المستهلكين عام 2026. لم يقتحم المهاجم بنكاً ولا مستشفى. اقتحم منصة تعليم — وخرج منها بأسماء وأرقام طلاب ومحادثات خاصة لـ ربع مليار من الطلاب والمربّين.

لم تتسرب أرقام بطاقات. لم تتسرب كلمات مرور. تسرّب السياق — اسمك ومدرستك ورسائلك ونبرتك والأشخاص الذين تتحدث معهم فعلاً. هذا السياق هو المادة الخام لكل رسالة تصيّد مقنعة سيتلقاها الطلاب وأولياء الأمور خلال السنة القادمة منتحلة شخصية معلم أو مكتب مساعدات مالية أو Canvas نفسه.

لا يمكنك التراجع عن هذا التسريب. لكنك تستطيع أن تضمن — حين يصلك بريد "متابعة لمساق" يبدو مطّلعاً بشكل غير اعتيادي — أن تتعامل معه بوصفه ما هو فعلاً: عرضاً عدائياً. تحقق من داخل تطبيق Canvas الرسمي، لا تنقر الرابط، وافترض أن نظام إدارة التعلّم الذي سجّلت فيه دخولك في الفصل الماضي قد صار من اليوم جزءاً من نموذج التهديدات لديك.

الوسوم

أمانخصوصيةتسريب بياناتتعليمتصيّد