Mosaic VPN LogoMosaic VPN
Панель управленияНачать
Назад в блог
безопасностьприватностьутечка данныхобразованиефишинг

"275 миллионов студентов под прицелом: что значит утечка Canvas / Instructure"

Mosaic TeamОпубликовано: 11 мая 2026 г.
Ряды ноутбуков в университетской лекционной аудитории — иллюстрация масштабов утечки Canvas / Instructure

Доступные языки

ENZHRUESARID

В первую неделю мая 2026 года вымогательская группировка ShinyHunters объявила о взломе Instructure — компании, стоящей за Canvas, системой управления обучением, которой пользуются 41% американских вузов, многие школьные округа K-12 и крупнейшие университеты по всему миру — от Гарварда до Национального университета Сингапура. Атакующие утверждают, что похитили персональные данные 275 миллионов пользователей примерно из 8 800 учебных заведений и министерств образования, а также миллиарды личных сообщений между студентами, преподавателями, родителями и администраторами.

Instructure обнаружила вторжение 1 мая, на следующий день заявила, что инцидент "локализован", и в течение недели подтвердила: имена, адреса электронной почты, студенческие ID и переписка между пользователями в пострадавших организациях были скомпрометированы. 3 мая ShinyHunters публично потребовали выкуп с дедлайном 12 мая, после которого данные будут опубликованы или проданы. 7 мая группировка заявила о повторном вторжении и подменила страницы входа на сайтах нескольких учебных заведений; Canvas Гарварда лёг, а атака пришлась прямо на разгар сессии у огромного числа американских студентов.

Если вы когда-либо учились или преподавали через Canvas — в любом университете, колледже или K-12 округе, использующем эту систему, — вполне вероятно, что ваше имя, школьная почта, студенческий ID и содержимое ваших личных сообщений с однокурсниками и преподавателями уже находятся в чужих руках. В этой статье мы разбираем, что именно попало в утечку, почему данные образовательной платформы особенно опасны по сравнению с большинством обычных утечек, и предлагаем небольшой набор конкретных привычек, которые сделают вас гораздо менее удобной мишенью до того, как неминуемая волна фишинга накроет ваш ящик.

Что именно утекло

По официальным сообщениям Instructure и материалам CNN, TechCrunch, Bleeping Computer, Inside Higher Ed и Harvard Crimson, общая картина утечки выглядит примерно так:

КатегорияВ утечке?
Полное имяДа
Электронная почта учебного заведенияДа
Личная почта (если была указана)Да
Студенческий IDДа
Принадлежность к учебному заведениюДа — школа, курсы, роль
Личные сообщения между пользователямиДа — миллиарды, по заявлению ShinyHunters
Названия курсов, отсылки к программам, темы заданийЧасто встречаются в контексте сообщений
Сообщения и комментарии на форумах курсовЕсли попадали в инбоксы Canvas
Пароли / хеши паролейНет — не в составе пострадавших данных
Дата рожденияНет
Государственные идентификаторы (SSN, паспорт)Нет
Финансовые / платёжные данныеНет

То, что пароли, даты рождения и финансовые данные, по всей видимости, не попали в дамп — действительно хорошая новость. Но важно понимать, что попало: полный архив того, как целое поколение студентов и преподавателей общалось друг с другом, привязанный к настоящим именам, школам и студенческим ID. Это совсем другая категория утечки по сравнению с привычной публике "сливом базы кредиток".

"У нас нет вашего пароля. У нас есть то, что вы говорили, когда думали, что это читает только ваша группа."

Именно это отличие делает утечку LMS особенно опасной.

Почему утечка образовательных данных особенно токсична

Большинство обзоров утечек воспринимают все украденные записи как примерно равноценные — имена, почты, телефоны. Система управления обучением — другой зверь. Данные Canvas особенно ценны для атакующего по трём причинам:

1. Это разговоры, а не транзакции

Большинство утечек обнажают строки в базе данных. Canvas обнажил разговоры — длинные ветки про задания, оценки, академические послабления, конфликты с однокурсниками, просьбы продлить срок сдачи, координацию рекомендательных писем, мелкие учебные драмы. Атакующий теперь знает ваш тон, ваших постоянных собеседников, преподавателей, которым вы доверяете, и обороты, которыми вы с ними пишете. Подделать письмо, читающееся как продолжение реальной переписки, теперь — задача посильная.

2. Это мост от уязвимой аудитории к каналу высокого доверия

Студенты — особенно первокурсники и несовершеннолетние в школах — одна из самых атакуемых мошенниками демографий: от поддельных стипендий и "программ списания студенческих кредитов" до романтических разводок и схем "удалённой работы" для отмывания денег. Раньше мошенникам приходилось писать в холодную. После этой утечки атакующий может написать студенту с настоящего адреса вуза, сослаться на реальный код курса и назвать настоящего преподавателя, у которого студент действительно учится. Порог правдоподобия любого фишинга против студентов резко вырос.

3. Это многопоколенческие данные

В Canvas сидят не только студенты. Учителя, профессора, ассистенты, родители (через школьные родительские порталы) и администраторы — все в одном датасете, часто связанные между собой. Атакующий, знающий, что родитель A — это родитель ребёнка B в классе учителя C в школе D, может написать "Здравствуйте, это учитель C, ваш ребёнок не сдал задание, подтвердите контактные данные" — и от настоящего письма это почти невозможно отличить, особенно если родитель не очень технический и эмоционально готов реагировать на любую школьную тему.

Поэтому заявление про миллиарды личных сообщений так важно. Даже если чувствительной является только часть, сам стог сена становится оружием: ML-инструменты способны прочесать его и вытащить именно те строки, которые годятся для немедленной эксплуатации.

Сценарии мошенничества на ближайшие месяцы

Будет ли полный датасет Instructure когда-либо опубликован или продан — не так важно: история показывает, что сопутствующие схемы мошенничества пойдут примерно в таком порядке:

1. "Re: Ваш недавний запрос по курсу"

Ответное письмо, выглядящее как продолжение реальной ветки в Canvas, со ссылкой на правдоподобный код курса и просьбой "подтвердить аккаунт" или "подтвердить запись на курс" по ссылке. Поддельные домены вроде canvas-login-portal.com или university-instructure.net хостят фишинговую страницу.

2. Сценарии с финпомощью и оплатой обучения

"Ваша выплата по финансовой помощи не прошла. Чтобы не потерять место в учебном плане, обновите платёжные данные." Поскольку атакующий знает ваш конкретный вуз, формулировки можно сделать очень точными. Варианты для родителей будут касаться школьных взносов, счетов столовой и согласий на экскурсии.

3. Стипендии и "списание студенческих кредитов"

Используя данные о вузе и специальности, атакующий может предлагать стипендии, точно подобранные под ваш реальный профиль обучения и курс — "10 000 долларов специально для третьекурсников по [вашей реальной программе]". Под ссылкой собирают учётные данные, банковские реквизиты или и то, и другое.

4. Имитация настоящих преподавателей

Более затратные атаки используют сам архив сообщений: "Здравствуйте, это профессор X, продолжаю наш разговор о вашей пересдаче. Заполните эту форму до пятницы." Атакующий читал предыдущие сообщения. Тон совпадает. Запрос конкретный. В отличие от шаблонного фишинга, такое сложно отбросить, не сверяясь по другому каналу.

5. Кредстаффинг по соседним образовательным сервисам

Даже без паролей в утечке связка почта + вуз + роль — золото для атак с подбором паролей по соседним сервисам: Blackboard, Google Workspace for Education, университетский Outlook, ProctorU, Turnitin, порталы финпомощи. Старые пароли из прошлых утечек подставляются в расчёте на то, что студенты переиспользуют пароли по университетским SaaS.

6. Целевое мошенничество против сотрудников

В датасете 8 800 учебных заведений — а значит, и почты сотрудников, и преподавателей. Спирфишинг HR, IT и закупок с использованием внутреннего жаргона из настоящих сообщений Canvas — названия комитетов, коды курсов, даты семестров — будет сопровождать нас весь остаток 2026 года.

Что делать студенту, родителю или преподавателю

Пять конкретных действий по приоритету:

  1. Любое письмо или звонок "от Canvas", "от Instructure" или "от вашей школы", которые вы сами не инициировали, считайте враждебными по умолчанию. Открывайте портал учебного заведения напрямую в браузере — никогда по ссылке из письма. Если в письме якобы продолжается переписка в Canvas, зайдите в Canvas и посмотрите настоящую ветку — а не ту, что вставлена в письмо.
  2. Смените пароль школьного аккаунта и любых аккаунтов, использующих ту же почту. Хотя пароли Canvas, по всей видимости, не утекли, связка "почта + принадлежность к вузу" — именно то, что атакующие будут перебирать против ваших остальных сервисов. Используйте менеджер паролей и включайте двухфакторку через приложение-аутентификатор везде, где это возможно.
  3. Подтяните настройки восстановления школьной почты. Убедитесь, что номер телефона и резервный e-mail на вашем .edu-аккаунте по-прежнему ваши. Если вуз поддерживает аппаратные ключи — включите. Студенты и сотрудники — приоритетная цель для угона аккаунта.
  4. Поговорите с младшими школьниками и родителями в семье. Дети в K-12 и их родители — самая мягкая часть этого датасета. Покажите им на пальцах, как может выглядеть фальшивое письмо "от Canvas", и напомните: настоящие учителя не запрашивают по почте платёжные данные, паспортные номера или пароли.
  5. С особой осторожностью относитесь к темам с "Re:" или "Fwd:" от отправителей, которых вы не помните. Атакующие любят такие шапки — мозг автоматически читает их как продолжение существующего диалога. Если оригинального письма вы не помните — его и не было.

Глубже: образовательные технологии стали целью первой линии

Canvas взломали не потому, что какой-то ребёнок написал пароль на стикере. Его взломали потому, что образовательный SaaS незаметно стал одним из крупнейших в мире слабо защищённых концентраторов персональных данных, и группировки-вымогатели это заметили.

Тем, кто следит за хронологией утечек 2026 года, картина знакомая. Аутсорсный саппорт Adobe слил 13 миллионов тикетов через одного зафишенного сотрудника. Партнёрская сеть Booking.com слила маршруты путешественников. Cushman & Wakefield потерял полмиллиона записей Salesforce от той же ShinyHunters. Школьный округ Wake County в Северной Каролине пережил инцидент с Canvas / PowerSchool в апреле. Утечка Instructure — тот же сценарий, только в масштабе, который наконец заставляет говорить: самые чувствительные данные проходят через куда больше рук, чем бренд на коробке.

Студенту и родителю стоит усвоить неприятную, но полезную мысль: каждое сообщение в Canvas, каждое объяснение про опоздавшее задание, каждая просьба о послаблении — это маленький депозит данных в систему, которой вы не управляете и которую не можете аудировать. Хранителем может оказаться поставщик, о котором вы никогда не слышали, в регионе, о котором вы и не подозревали. Когда хранителя зафишивают, вы оказываетесь в утечке — хотя ваши отношения были со школой, а не с ним.

Аудитом из этой ситуации не выбраться. Что можно сделать — это сократить хвост контекста, который вы оставляете за собой, и укрепить те границы сети и аккаунта, на которые вы действительно влияете.

Практический чек-лист по укреплению приватности

Используйте раз в семестр. Большая часть пунктов укладывается в один вечер.

Гигиена аккаунтов

  • Проинвентаризируйте аккаунты, привязанные к школьной почте. У большинства студентов их десятки — прокторинг-сервисы, триалы курсовых инструментов, репетиторские приложения. Закройте всё, чем не пользуетесь.
  • Прогоните каждый аккаунт через менеджер паролей с уникальными сгенерированными паролями. Переиспользование паролей — главный усилитель любой утечки.
  • Включите двухфакторную аутентификацию везде, где её предлагают, через приложение-аутентификатор, а не через SMS — SMS-2FA обходится атакой SIM-swap.
  • Подключите оповещения haveibeenpwned.com и для школьной, и для личной почты, чтобы узнавать о новых утечках в день их публикации, а не в день первого письма от мошенника.

Гигиена почты

  • Все нежданные письма "от школьного портала" по умолчанию враждебны. Проверяйте, заходя в Canvas / деканатскую систему напрямую.
  • Перед кликом наводите курсор на ссылку — поддельные домены редко выдерживают внимательный взгляд.
  • Особенно подозрительны "Re:"-ветки, которых вы не помните. Настоящие продолжения переписки живут внутри Canvas, а не только в почте.
  • Сообщайте и удаляйте, не отвечайте. Ответ на фишинг подтверждает, что адрес живой, и приводит к эскалации.

Сетевая гигиена

  • Шифруйте трафик в сетях, которым не до конца доверяете. Wi-Fi в общежитии, в лектории, в библиотеке, и особенно в командировках и на конференциях — не безопасны по умолчанию.
  • Держите DNS-запросы внутри зашифрованного туннеля, чтобы скомпрометированный роутер в кампусе или кафе не смог перенаправить вас на поддельную страницу Canvas.
  • Отключите автоподключение к неизвестным Wi-Fi. Поддельные SSID (Eduroam_Free, Library_Guest) — дешёвый и стабильный фишинг-канал в людных кампусах.

Локализация ущерба

  • Если подозреваете компрометацию: сначала меняйте пароль, потом коды восстановления 2FA, потом резервный e-mail. Порядок важен — смена пароля без смены резервной почты оставляет дверь открытой.
  • Следите за мелкими "тестовыми" списаниями в дни после известной утечки. Атакующие проверяют карты на $1, прежде чем запустить крупное мошенничество.
  • Не удаляйте фишинговые письма сразу. Сложите их в отдельную папку, пока не убедитесь, что атак больше нет — это пригодится как доказательство при оспаривании списания или жалобе в IT-отдел вуза.

Где здесь Mosaic VPN

VPN не помешает Instructure быть зафишенной. Зато он сужает поверхность атаки на всех остальных фронтах вашей цифровой жизни — особенно когда волна последующего фишинга накатывает на сети общежитий, библиотек и кафе, в которых студенты реально работают.

  • Шифрование AES-256 — ваш трафик в Wi-Fi общежития, библиотеки, отеля, аэропорта и кафе зашифрован сквозным образом, и никто на той же сети не сможет ни перехватить, ни взломать ваш сеанс.
  • Низкооверхедное шифрование — минимальное влияние на скорость, лекции по видео, тяжёлые научные загрузки и 4K-стриминг идут без потерь.
  • Kill Switch — если туннель оборвался, весь трафик блокируется до восстановления. Ничего не утечёт в кампусную сеть, в которой вы оказались.
  • Защита от утечки DNS — DNS-запросы остаются внутри туннеля, и неправильно настроенный роутер или враждебный captive portal не сможет увести вас на фейковую страницу Canvas или финпомощи.
  • Глобальная сеть серверов — выходные узлы в десятках стран позволяют международным студентам и путешествующим исследователям спокойно работать с реально нужными им сервисами, даже если конечная сеть фильтрует, тормозит или попросту не заслуживает доверия.

Считайте это слоем, который остаётся постоянным независимо от того, какой поставщик в этом семестре оказался в доверии у вашего вуза. Вы не можете аудировать инфраструктуру Instructure. Зато можете сделать так, чтобы сеть между вами и остальным интернетом — была вашей.

Сухой остаток

Утечка Canvas — чистый пример негромкого, но важного сдвига в том, как устроены потребительские утечки данных в 2026 году. Атакующий не ломал банк и не ломал больницу. Он взломал учебную платформу — и вынес имена, школьные ID и личные разговоры четверти миллиарда студентов и преподавателей.

Карты не утекли. Пароли не утекли. Контекст утёк — ваше имя, ваш вуз, ваши сообщения, ваш тон, реальные люди, с которыми вы переписывались. Этот контекст и есть сырьё для всех правдоподобных фишинговых писем, которые ближайший год будут получать студенты и родители — от лица "учителя", "финансового отдела" или "Canvas".

Эту утечку вы не отмените. Зато можете сделать вот что: когда придёт необычно хорошо осведомлённое письмо с "продолжением курсового вопроса", распознать его таким, какое оно есть — враждебным предложением. Зайдите в официальное приложение Canvas, не кликайте по ссылке и исходите из того, что LMS, в которую вы логинились в прошлом семестре, отныне — часть вашей модели угроз.

Теги

безопасностьприватностьутечка данныхобразованиефишинг