İngiltere'nin Siber İzleme Merkezi (CMC), eğitim teknolojisi firması önümüzdeki hafta kendi bulgularını paylaşmaya hazırlanırken, Instructure'ın Öğrenme Yönetim Sistemini etkileyen Canvas siber olayının analizini paylaştı.
CMC, yaklaşık 160 Birleşik Krallık yüksek öğretim kurumunun etkilendiğini ve tehdit aktörlerinin gizli kurs ve kullanıcı verilerini sızdırdığını söyledi. Toplamda dünya çapında 9000 civarında eğitim kurumunun etkilendiği düşünülüyor.
Olay, CMC'nin minimum kategori eşiğini karşılamasa da inceleme, veri ihlali olaylarının mali etkisini daha iyi anlamayı, CMC'nin veri ihlali analiz modelinin geliştirilmesine bilgi sağlamayı ve Birleşik Krallık yüksek öğrenim sektörü içindeki siber riske ilişkin içgörüyü derinleştirmeyi amaçlıyor.
CMC, 10 milyon £ (13 milyon ABD Doları) tutarında kayba neden olan veya Birleşik Krallık'taki kuruluşların %0,01'inden fazlasını etkileyen bir siber saldırıyı 'Kategori 1 olay' olarak değerlendiriyor. Bağlam açısından, Jaguar Land Rove'a yönelik 2025 siber saldırısı, beş puanlık CMC ölçeğinde Kategori 3 sistemik olay olarak sıralandı.
Nasıl Önlem Alınmalı?
CMC, Canvas olayının, veri ihlali olaylarının mali profillerindeki büyük ölçekli kesinti olaylarından ne kadar farklı olabileceğini gösterdiğini söyledi.
Teknik Analiz
CMC incelemesinde, "Bu durumda kayıplar, uzun süreli iş kesintisinden ziyade müdahale, kurtarma ve risk yönetimi faaliyetlerinden kaynaklanıyor gibi görünüyor" dedi.
Canvas Siber Saldırısı Nasıl Ortaya Çıktı?
Gelecekte Ne Bekleniyor?
29 Nisan'da Instructure, Canvas'ta yetkisiz etkinlik tespit etti. Şirket, bu faaliyetin teknoloji ve eğitim de dahil olmak üzere birçok sektörde büyük ölçekli saldırılarla tanınan bir siber suç örgütü tarafından gerçekleştirildiğini söyledi.
7 Mayıs 2026'da aynı tehdit aktörü, ikinci bir Canvas güvenlik açığı aracılığıyla ek erişim elde etti. Yetkisiz aktör, bazı öğrenci ve öğretmenlerin Canvas üzerinden giriş yaptığında görünen sayfalarda değişiklik yaptı
Önemli Gelişmeler
Yaklaşık 330 kurumsal Canvas giriş sayfasında görünen tahrifat mesajı, birçok kişinin ShinyHunters gasp grubunun siber saldırının merkezinde olduğu sonucuna varmasına yol açtı. Atıf Instructure tarafından onaylanmadı.
Uzmanların Görüşleri
Firma, 9 Mayıs'ta Canvas'ın tamamen çevrimiçi ve kullanıma hazır olduğunu doğruladı.
Sistem Güvenliği
CrowdStrike, Instructure'ın Free-For-Teacher hesaplarından biri kullanılarak yürütüldüğünü söylediği olayla ilgili adli tıp soruşturmasında yer alıyor.
Siber İzleme Merkezi İncelemesi ve Önerileri
Sonuç ve Değerlendirme
CMC, etkilenen yükseköğretim kurumlarının sayısına rağmen tehdit aktörlerinin diğer kurumsal sistemlere doğru yatay hareket ettiğine dair bir kanıt bulunmadığını söyledi.
CMC'nin ana hatlarıyla ortaya koyduğu tavsiyeler, Canvas olayının analiziyle güçlendirilmiş, yüksek öğretim kurumları için "ortak iyi uygulama" olarak tanımlandı. Bunlar şunları içerir:
Mimariyi riskle uyumlu hale getirin: Kuruluşun risk iştahına dayalı olarak görev açısından kritik sistemlerin ve yüksek değerli hizmetlerin korunmasına öncelik verilir
Detaylar ve Etkileri
Ayrı uygulama ve veri katmanları: Bu bileşenleri mümkün olduğunca izole ederek veri bütünlüğünü, kurtarmayı ve doğrulamayı iyileştirin
MFA'yı tutarlı bir şekilde uygulayın: Çok faktörlü kimlik doğrulamanın tüm sistemlerde düzgün şekilde uygulandığından emin olun
Üçüncü taraf erişimini kontrol edin: Tedarik zinciri genelinde harici erişim ayrıcalıklarını sınırlandırın ve yakından yönetin
Denizaşırı bağımlılıkları değerlendirin: Yasal sınırlamalar ve destek sınırlamaları da dahil olmak üzere denizaşırı sağlayıcılarla bağlantılı riskleri anlayın
SaaS güvenliğini güçlendirin: Yanlış yapılandırmaları önlemek ve ihlal riskini azaltmak için sağlayıcının rehberliğini izleyin
Olay müdahale planlarını test edin: Dayanıklılığı ve iş sürekliliğini iyileştirmek için ihlal ve kesinti senaryolarını çalıştırın
Kanvas Olayı Kimlik Avı Risklerini ve Açık İletişim İhtiyacını Vurguluyor
İletişim aynı zamanda ortakların ve müşterilerin maruziyet durumlarını değerlendirmelerine ve kendi araştırmalarını yürütmelerine olanak sağlamak için yeterli teknik ayrıntıların paylaşılması da dahil olmak üzere bir olaya müdahale eden kuruluşlar için de önemli bir öneriydi.
Ayrıca CMC, yazılım sağlayıcılarının olay bildirimleri için uygun müşteri bağlantılarını (örneğin CIO veya CISO) sürdürmeleri gerektiğini söyledi.
Olayın ardından eğitim teknolojisi firması "bu olaya karışan yetkisiz aktörle anlaşmaya vardığını" söyledi. Ancak paranın el değiştirip değiştirmediği belirtilmedi.
CMC, fidye ödemesinin ardından, silmeye ilişkin görünür teknik kanıtın iletilmesi de dahil olmak üzere, verilerin silinmesine ilişkin sözlerin güvenilmez olduğunu belirtti.
Bu durumda, öğrenciler ve diğerleri için süregelen riskin doğrudan gasp olması muhtemel değildir. Daha olası bir risk, sızdırılan verilerin Onları daha karmaşık kimlik avı e-postalarıyla hedeflemek için kullanılabilirim.
Canvas, söz konusu bilgilerin kamuya açıklanmasını beklemediğini ancak etkilenenlerin kimlik avı, smishing ve vishing dolandırıcılıklarına karşı dikkatli olmaları gerektiğinin altını çizdi.