İngiltere Siber İzleme Merkezi (CMC), Instructure’a ait Canvas öğrenim yönetim sistemini etkileyen siber olayın detaylı analizini paylaştı. CMC’ye göre, yaklaşık 160 İngiliz yükseköğretim kurumu saldırıdan etkilenirken, tehdit aktörleri gizli ders ve kullanıcı verilerini dışarı sızdırdı. Dünya genelinde ise toplam 9 bin eğitim kurumunun etkilendiği tahmin ediliyor. Olay, CMC’nin minimum kategori eşiğini karşılamasa da, inceleme veri ihlali olaylarının finansal etkisini daha iyi anlama, veri ihlali analiz modelini geliştirme ve İngiltere yükseköğretim sektöründeki siber riskleri derinlemesine kavrama amacı taşıyor.
CMC, bir siber saldırıyı 10 milyon sterlin (13 milyon dolar) üzerinde kayıp veya İngiltere kuruluşlarının %0,01’inden fazlasını etkilemesi durumunda 'Kategori 1 olay' olarak sınıflandırıyor. Karşılaştırma yapmak gerekirse, 2025’te Jaguar Land Rover’a yapılan siber saldırı, beş puanlık CMC ölçeğinde Kategori 3 sistemik olay olarak derecelendirilmişti. Canvas olayı ise veri ihlallerinin büyük ölçekli kesinti olaylarından farklı bir finansal profile sahip olduğunu gösteriyor. CMC değerlendirmesine göre, bu vakada kayıplar daha çok müdahale, kurtarma ve risk yönetimi faaliyetlerinden kaynaklandı, uzun süreli iş kesintisinden değil.
Canvas siber saldırısı, 29 Nisan’da Instructure’ın Canvas’ta yetkisiz bir etkinlik tespit etmesiyle başladı. Şirket, bu etkinliğin teknoloji ve eğitim dahil birden fazla sektörde büyük ölçekli saldırılarıyla bilinen bir siber suç örgütü tarafından gerçekleştirildiğini belirtti. 7 Mayıs’ta aynı tehdit aktörü, ikinci bir Canvas güvenlik açığı üzerinden yeniden erişim sağladı ve bazı öğrenci ve öğretmenlerin oturum açtığı sayfalarda değişiklik yaptı. Yaklaşık 330 kurumsal Canvas giriş sayfasında görülen bir tahrifat mesajı, ShinyHunters fidye grubunun saldırının merkezinde olduğu yönünde yorumlara yol açtı, ancak Instructure bu iddiayı doğrulamadı. CrowdStrike olayın adli incelemesine dahil olurken, Instructure saldırının Free-For-Teacher hesaplarından biri kullanılarak gerçekleştirildiğini açıkladı.
CMC, etkilenen yükseköğretim kurumu sayısına rağmen tehdit aktörlerinin diğer kurumsal sistemlere yanal hareket ettiğine dair kanıt bulunmadığını belirtti. Canvas olayının analiziyle pekiştirilen ve 'ortak iyi uygulama' olarak tanımlanan tavsiyeler arasında; mimariyi riske göre hizalamak, uygulama ve veri katmanlarını ayırmak, çok faktörlü kimlik doğrulamayı (MFA) tutarlı şekilde uygulamak, üçüncü taraf erişimini kontrol etmek, denizaşırı bağımlılıkları değerlendirmek, SaaS güvenliğini güçlendirmek ve olay müdahale planlarını test etmek yer alıyor. Ayrıca CMC, yazılım sağlayıcılarının olay bildirimleri için uygun müşteri iletişim kişilerini (CIO veya CISO gibi) bulundurması gerektiğini vurguladı. Instructure, olayın ardından yetkisiz aktörle anlaşmaya vardığını ancak fidye ödemesi yapılıp yapılmadığını açıklamadı. CMC, fidye ödemesi sonrası verilerin silineceğine dair vaatlerin güvenilir olmadığını belirtirken, sızdırılan verilerin öğrencilere yönelik daha karmaşık kimlik avı saldırılarında kullanılabileceği uyarısında bulundu.