İngiltere Siber İzleme Merkezi (CMC), Instructure Canvas öğrenme yönetim sistemindeki siber olayın ayrıntılı analizini yayınladı. CMC, yaklaşık 160 İngiliz yükseköğretim kurumunun etkilendiğini ve tehdit aktörlerinin gizli ders ve kullanıcı verilerini çaldığını bildirdi. Dünya genelinde ise yaklaşık 9.000 eğitim kurumunun etkilendiği tahmin ediliyor. Olay, CMC'nin minimum kategori eşiğini karşılamasa da, inceleme veri ihlali olaylarının finansal etkisini daha iyi anlamak, CMC'nin veri ihlali analiz modelini geliştirmek ve İngiltere yükseköğretim sektöründeki siber risk anlayışını derinleştirmek amacıyla yapıldı.
CMC, bir siber saldırının 'Kategori 1 Olay' sayılması için 10 milyon sterlin (13 milyon dolar) kayıp veya İngiltere'deki kuruluşların %0,01'inden fazlasını etkilemesi gerektiğini belirtiyor. Karşılaştırma yapmak gerekirse, Jaguar Land Rover'a yönelik 2025 siber saldırısı, beş puanlık CMC ölçeğinde Kategori 3 sistemik bir olay olarak derecelendirilmişti. CMC, Canvas olayının veri ihlali olaylarının büyük ölçekli kesinti olaylarından finansal profil açısından nasıl farklılaşabileceğini gösterdiğini vurguladı. CMC incelemesine göre, "Bu durumda kayıplar, uzun süreli iş kesintisinden çok, yanıt, kurtarma ve risk yönetimi faaliyetleri tarafından yönlendiriliyor."
Canvas siber saldırısı, 29 Nisan'da Instructure'ın Canvas'ta yetkisiz bir etkinlik tespit etmesiyle başladı. Şirket, bu etkinliğin teknoloji ve eğitim de dahil olmak üzere birden çok sektörde büyük ölçekli saldırılarıyla bilinen bir siber suç örgütü tarafından gerçekleştirildiğini söyledi. 7 Mayıs 2026'da aynı tehdit aktörü, ikinci bir Canvas güvenlik açığı üzerinden ek erişim sağladı. Yetkisiz aktör, bazı öğrenciler ve öğretmenler Canvas üzerinden oturum açtığında görünen sayfalarda değişiklikler yaptı. Yaklaşık 330 kurumsal Canvas giriş sayfasında görünen bir tahrif mesajı, birçok kişinin ShinyHunters fidye grubunun saldırının merkezinde olduğu sonucuna varmasına yol açtı. Ancak Instructure, atıfı doğrulamadı. Şirket, 9 Mayıs'ta Canvas'ın tamamen çevrimiçi ve kullanıma hazır olduğunu doğruladı. CrowdStrike, olayla ilgili adli soruşturmaya dahil oldu; Instructure, saldırının ücretsiz öğretmen hesaplarından biri kullanılarak gerçekleştirildiğini belirtti.
CMC, etkilenen yükseköğretim kurumu sayısına rağmen, tehdit aktörlerinin diğer kurumsal sistemlere yanal hareket ettiğine dair bir kanıt bulunmadığını söyledi. CMC tarafından özetlenen öneriler, Canvas olayının analiziyle pekiştirilen yükseköğretim kurumları için 'ortak iyi uygulama' olarak tanımlandı. Bu öneriler arasında şunlar yer alıyor: Mimarisi riskle uyumlu hale getirme: Kuruluşun risk iştahına göre kritik sistemlerin ve yüksek değerli hizmetlerin korunmasına öncelik verin. Uygulama ve veri katmanlarını ayırma: Mümkün olduğunda bu bileşenleri izole ederek veri bütünlüğünü, kurtarmayı ve doğrulamayı iyileştirin. MFA'yı tutarlı bir şekilde uygulama: Çok faktörlü kimlik doğrulamanın tüm sistemlerde düzgün bir şekilde uygulandığından emin olun. Üçüncü taraf erişimini kontrol etme: Tedarik zinciri genelinde harici erişim ayrıcalıklarını sınırlayın ve yakından yönetin. Denizaşırı bağımlılıkları değerlendirme: Yasal ve destek sınırlamaları dahil olmak üzere yurtdışı sağlayıcılarla ilgili riskleri anlayın. SaaS güvenliğini güçlendirme: Yanlış yapılandırmaları önlemek ve ihlal riskini azaltmak için sağlayıcı yönergelerini izleyin. Olay müdahale planlarını test etme: Dayanıklılığı ve iş sürekliliğini iyileştirmek için ihlal ve kesinti senaryoları çalıştırın.
Canvas olayı, kimlik avı risklerini ve net iletişim ihtiyacını da gözler önüne serdi. İletişim, bir olaya yanıt veren kuruluşlar için önemli bir öneriydi; ortakların ve müşterilerin maruziyetlerini değerlendirmelerine ve kendi soruşturmalarını yürütmelerine olanak tanımak için yeterli teknik ayrıntının paylaşılmasını içeriyordu. Ayrıca CMC, yazılım sağlayıcılarının olay bildirimleri için uygun müşteri iletişim kişilerini (örneğin CIO veya CISO) bulundurması gerektiğini söyledi. Olayın ardından eğitim teknolojisi şirketi, 'bu olaya karışan yetkisiz aktörle bir anlaşmaya vardığını' ancak para alışverişi yapılıp yapılmadığını belirtmediğini açıkladı. CMC, fidye ödemesinin ardından, verilerin silineceğine dair vaatlerin (görünür teknik silme kanıtları sunulsa bile) güvenilmez olduğunu belirtti.
Bu durumda öğrencilere ve diğerlerine yönelik devam eden riskin doğrudan fidye olması pek olası değil. Daha olası bir risk, sızdırılan verilerin daha karmaşık kimlik avı e-postalarıyla hedef almak için kullanılabilmesi. Canvas, söz konusu bilgilerin kamuya açıklanmasını beklemediğini ancak etkilenenlerin kimlik avı, smishing ve vishing dolandırıcılıklarına karşı dikkatli olmaları gerektiğini vurguladı. CMC'nin analizi, yükseköğretim kurumlarının siber güvenlik önlemlerini gözden geçirmeleri ve özellikle üçüncü taraf erişimleri ve SaaS güvenliği konularında proaktif adımlar atmaları gerektiğini ortaya koyuyor. Canvas veri ihlali, eğitim sektörünün siber tehditlere karşı ne kadar savunmasız olduğunu bir kez daha hatırlatırken, CMC'nin önerileri bu alandaki kurumlar için yol gösterici nitelikte.
Kaynak: infosecurity-magazine.com