İngiltere Siber İzleme Merkezi (CMC), Instructure’ın Canvas Öğrenme Yönetim Sistemi’ni etkileyen siber olaya ilişkin kapsamlı analizini yayımladı. CMC’ye göre, yaklaşık 160 İngiltere yükseköğretim kurumu ve dünya genelinde 9.000 eğitim kurumu saldırıdan etkilendi. Saldırganlar, gizli ders ve kullanıcı verilerini ele geçirdi. Olay, CMC’nin minimum kategori eşiğini aşmamış olsa da, veri ihlali olaylarının finansal etkisini anlamak ve siber risk modelini geliştirmek amacıyla detaylı bir inceleme yapıldı.
CMC, Canvas olayının veri ihlallerinin büyük ölçekli kesinti olaylarından farklı bir finansal profile sahip olduğunu vurguladı. Rapora göre, kayıplar daha çok yanıt, kurtarma ve risk yönetimi faaliyetlerinden kaynaklanırken, uzun süreli iş kesintisi daha az etkili oldu. CMC’nin beş puanlık ölçeğinde Kategori 3 sistemik olay olarak sınıflandırılan Jaguar Land Rover saldırısının aksine, Canvas olayı daha düşük bir kategoride değerlendirildi.
Saldırının seyri: 29 Nisan’da Instructure, Canvas’ta yetkisiz bir etkinlik tespit etti. 7 Mayıs 2026’da aynı tehdit aktörü, ikinci bir Canvas güvenlik açığından yararlanarak sisteme yeniden erişti. Yaklaşık 330 kurumun Canvas giriş sayfasında değişiklikler yapıldı ve ShinyHunters fidye grubunun adı geçse de, Instructure sorumluluğu doğrulamadı. CrowdStrike olayın adli incelemesini yürütüyor. Instructure, saldırının Öğretmenler İçin Ücretsiz hesaplardan biri kullanılarak gerçekleştirildiğini belirtti.
CMC’nin önerileri arasında mimariyi riske göre hizalamak, uygulama ve veri katmanlarını ayırmak, çok faktörlü kimlik doğrulamayı tutarlı şekilde uygulamak, üçüncü taraf erişimini kontrol etmek, denizaşırı bağımlılıkları değerlendirmek, SaaS güvenliğini güçlendirmek ve olay müdahale planlarını test etmek yer alıyor. Ayrıca, yazılım sağlayıcılarının olay bildirimleri için uygun iletişim kişilerini (CIO veya CISO) bulundurması gerektiği vurgulandı. Instructure, saldırganla anlaşma sağladığını ancak ödeme yapılıp yapılmadığını açıklamadı. CMC, fidye ödemesi sonrası verilerin silineceğine dair vaatlerin güvenilmez olduğunu ve sızdırılan verilerin daha sofistike kimlik avı saldırılarında kullanılabileceğini belirtti.