ShinyHunters атакует Canvas: 9 000 университетов, 275 миллионов записей

ShinyHunters заявляют о компрометации 275 миллионов записей примерно в 9 000 университетов в результате единственного вторжения в платформу Canvas компании Instructure. Если эта цифра подтвердится, это будет одна из крупнейших утечек данных в секторе образования за всю историю — и, по имеющимся данным, первоначальный вектор доступа представлял собой один взломанный аккаунт преподавателя. Соотношение важнее, чем само число.

Что произошло

Instructure, разработчик системы управления обучением Canvas, обнаружила несанкционированную активность 29 апреля, отозвала скомпрометированный доступ, а затем в четверг перевела платформу в офлайн после выявления дополнительной активности. Как сообщает CBC, злоумышленники проникли через определённый тип аккаунта преподавателя, а скомпрометированные данные могут включать полные имена, адреса электронной почты, студенческие номера и личные сообщения. Instructure заявляет, что пока не нашла доказательств компрометации паролей, финансовой информации или данных государственных документов.

Список клиентов напоминает справочник ведущих университетов Северной Америки. В Канаде среди подтверждённых пострадавших учреждений — Университет Торонто, Университет Британской Колумбии, Университет Альберты и Школа бизнеса Айви Западного университета. Университеты Альберты, UBC и Торонто приостановили или ограничили использование Canvas; другие вернулись к восстановленной платформе с предупреждениями о фишинговой угрозе. Уведомление Университета Торонто для преподавателей, сотрудников и студентов было однозначным: университет никогда не попросит никого обходить MFA, и любое письмо с запросом кодов обхода MFA следует немедленно сообщить в службу безопасности.

Группа угроз ShinyHunters взяла на себя ответственность и требует нераскрытый «расчёт» для предотвращения публикации похищенных данных. Ранее эта же группа была связана со взломами Ticketmaster и базы данных Salesforce компании Google. Время оказалось крайне неудачным: многие американские колледжи находились в разгаре сессии, когда экраны входа начали отображать требование о выкупе, которым студенты тут же поделились в TikTok. Большинство канадских университетов только что завершили весенние экзамены — это единственная хорошая новость во всей этой истории.

Технический анализ

Наиболее важная техническая деталь в источнике заключается в том, что первоначальный доступ был получен через «определённый тип аккаунта преподавателя». Instructure публично не раскрыла, означает ли это похищенные учётные данные, токен сессии, интеграцию OAuth или класс аккаунта с повышенными привилегиями, охватывающими несколько арендаторов. Именно этот вопрос является ключевым, а источник пока не даёт ответа. Суть проблемы такова: если одни учётные данные преподавателя позволяют читать 275 миллионов записей в 9 000 арендаторах, то модель авторизации обеспечивает изоляцию арендаторов лишь номинально. Если же роль уровня преподавателя имела легитимную межарендаторскую API-поверхность (например, для поддержки, аналитики или синдикации контента), то это сбой в проектировании авторизации, а не сбой в соблюдении требований к учётным данным.

Сравните два сценария. Инцидент с похищенными учётными данными сдерживается принудительным применением MFA, привязкой сессий и обнаружением аномалий при массовом чтении данных. Инцидент с чрезмерно привилегированной ролью сдерживается только перепроектированием областей видимости и добавлением лимитов скорости на вывод данных для каждого арендатора. Специалисты по защите, трактующие ситуацию как первый сценарий, когда в действительности имеет место второй, быстро придут к ложному чувству защищённости.

Паттерн поведения также о многом говорит. Instructure отозвала доступ 29 апреля, однако затем зафиксировала дополнительную активность, достаточно серьёзную для того, чтобы перевести платформу в офлайн спустя несколько дней. Это указывает либо на вторичное закрепление (дополнительные аккаунты, токены или сервисные идентификаторы, которые первый отзыв не затронул), либо на то, что первоначальное обнаружение не охватило полный набор скомпрометированных субъектов. Оба варианта чётко соответствуют техникам Valid Accounts (T1078) и Account Manipulation (T1098) из MITRE ATT&CK. Цифра в 275 миллионов — это заявление злоумышленника, а не подтверждение Instructure. Рассматривайте её как верхнюю границу до получения подтверждения, но планируйте так, будто она точна.

Один неизвестный параметр, заслуживающий внимания как проверяемая граница: источник не указывает, включают ли похищенные личные сообщения содержимое переписки между студентами и преподавателями или только метаданные. Если это полное содержимое, потенциал последующей социальной инженерии весьма высок, поскольку злоумышленники смогут воспроизводить реальный контекст разговоров в фишинговых приманках. Если только метаданные, масштаб угрозы ограничен атаками на сопоставление идентификаторов.

Кто пострадает

Очевидными жертвами являются студенты, однако аспект финансовых преступлений — тот, который директора по технологиям в финтехе и крипто-индустрии должны принять к сведению. Роберт Фалзон из Check Point Software высказался прямо: студенты находятся «в самом начале своего финансового пути», без крупных кредитов и долгов, что делает их идеальной основой для мошенничества с синтетическими удостоверениями личности. Имена, адреса электронной почты и студенческие номера в сочетании с данными, утёкшими из других источников, дают злоумышленникам достаточно информации для создания профилей, которые можно использовать для получения кредитов, ипотеки или совершения других финансовых преступлений. Другое наблюдение Фалзона — что жертвам может потребоваться «несколько лет, чтобы обнаружить, что они пострадали таким образом», — означает, что последствия не отразятся в показателях KYC за второй квартал. Они проявятся в когортах кредитных заявок 2028 и 2029 годов.

Командам по онбордингу в iGaming и DeFi следует исходить из того, что пары email-имя уже находятся в криминальной экосистеме, и соответствующим образом скорректировать оценку рисков для затронутой возрастной когорты. Рекламным платформам, ведущим кампании в образовательном сегменте, следует ожидать ощутимого роста попыток захвата аккаунтов среди аудитории с университетскими доменами в течение следующих 60 дней.

Для самих университетов Дэвид Шипли из Beauceron Security сформулировал ситуацию точно: они являются жертвами в «крайне затруднительном положении», зависящими от поставщика, предоставляющего услуги, которые они не могут экономически разместить самостоятельно. Эта зависимость никуда не денется. Изменится язык договоров о закупках. Можно ожидать, что SLA по уведомлению об утечках, положения о хранении данных и права на аудит появятся в следующем цикле RFP на Canvas или альтернативную платформу в каждом из пострадавших учреждений. Конкуренты Instructure (Blackboard, Moodle, D2L) получают окно для продаж, исчисляемое неделями, а не месяцами. Имеют ли они принципиально лучшую защиту — по-прежнему неизвестно.

Руководство для команд безопасности

Если ваша организация является пострадавшим клиентом Canvas, первоочередные действия очевидны: принудительная смена паролей, обязательное применение MFA, отзыв долгосрочных токенов, аудит OAuth-разрешений и проверка журналов SIEM на предмет необычных паттернов трафика Canvas API за период с 20 апреля по 10 мая. Конкретные рекомендации Университета Торонто о запросах на обход MFA заслуживают дословного копирования в ваши коммуникации по вопросам осведомлённости на этой неделе. Злоумышленники, располагающие именами и адресами электронной почты, будут проводить целевые кампании по усталости от MFA и предлогам обхода против именно этой аудитории.

Если вы не являетесь клиентом Canvas, то руководство касается закупок и архитектуры. Проведите аудит любого SaaS-поставщика, у которого один класс роли может читать данные в вашем арендаторе и других. Запросите письменное подтверждение гарантий изоляции арендаторов на уровне авторизации, а не только на уровне базы данных. Составьте инвентаризацию сторонних обработчиков данных в соответствии с категориями OWASP Top Ten A01 (Сломанный контроль доступа) и A07 (Сбои идентификации и аутентификации) и уточните, какие средства контроля обеспечивает поставщик, а какие — ваша сторона.

Люк Конноли из Emsisoft был однозначен в вопросе выкупа: его выплата «побуждает преступников продолжать поиск новых жертв» и «финансирует разработку новых техник». Учреждениям, рассматривающим выплату, следует взвесить это с учётом того, что у ShinyHunters есть послужной список (Ticketmaster, база данных Salesforce компании Google) публикации данных вне зависимости от получения выкупа, что ослабляет аргумент о том, что выплата реально обеспечивает защиту. Прогноз: если Instructure или любое из пострадавших учреждений заплатит, мы должны увидеть ощутимый рост требований о выкупе в образовательном секторе в течение 90 дней. Если никто не заплатит и данные окажутся в открытом доступе, следует ожидать, что волна атак с подстановкой учётных данных ударит по SSO-эндпоинтам университетов в течение 30 дней после публикации.

Ключевые выводы

• По имеющимся данным, один класс аккаунта преподавателя открыл доступ к данным в 9 000 учреждениях. Заявление о 275 миллионах записей — это цифра злоумышленника, а не подтверждённое количество от Instructure; её следует рассматривать как верхнюю границу.
• Ключевой невыясненный вопрос: речь идёт о похищенных учётных данных или о роли с избыточными привилегиями? Instructure не сообщила об этом, а ответ определяет, требует ли исправление улучшения гигиены или изменения архитектуры.
• Последствия финансовых преступлений не будут заметны ещё несколько лет. Студенческий номер плюс имя плюс адрес электронной почты — достаточная основа для мошенничества с синтетическими удостоверениями личности против когорты с чистой кредитной историей.
• Фишинг с обходом MFA — наиболее вероятное немедленное продолжение атаки. Формулировка Университета Торонто «мы никогда не попросим вас обойти MFA» — правильный инструмент коммуникации с пользователями.
• Практика закупок изменилась. Пострадавшие учреждения будут настойчивее требовать SLA по уведомлению об утечках и гарантий изоляции арендаторов, а конкуренты Instructure имеют короткое окно для использования этой ситуации.