Canvas se cae y ShinyHunters amenaza con filtrar datos de escuelas

 (theverge.com)
1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Canvas, la plataforma de gestión del aprendizaje de Instructure, dejó de funcionar después de confirmar una gran brecha de datos, y Canvas, Canvas Beta y Canvas Test fueron puestos en modo de mantenimiento
  • Entre los datos potencialmente afectados por la brecha están nombres de estudiantes, direcciones de correo electrónico, números de identificación y mensajes
  • Los estudiantes que entraron a Canvas vieron un mensaje en el que el grupo de hackers ShinyHunters se atribuye el ataque y amenaza con publicar datos de escuelas
  • ShinyHunters amenazó con filtrar todos los datos si no hay negociación antes de que termine el día del 12 de mayo de 2026, y exigió a las escuelas afectadas contactarlos en privado por TOX para llegar a un acuerdo
  • Instructure distribuyó parches la semana pasada para reforzar la seguridad del sistema tras la brecha, y ShinyHunters afirma en su sitio de filtración de datos que tiene información de 9,000 escuelas y de 275 millones de estudiantes, docentes y personal

Situación de la caída

  • En la página de estado de Instructure apareció el aviso de que “Canvas, Canvas Beta y Canvas Test fueron puestos en modo de mantenimiento”
  • Instructure dijo que espera que el servicio se recupere pronto y que dará actualizaciones lo antes posible

Amenaza de ShinyHunters

  • ShinyHunters afirma que volvió a vulnerar a Instructure y que la empresa aplicó “parches de seguridad” sin ponerse en contacto con ellos
  • El mensaje incluye un enlace a una lista de escuelas que, según ShinyHunters, fueron comprometidas a través de Canvas
  • Exigieron que, si una escuela incluida en la lista afectada quiere evitar la publicación de los datos, consulte con una firma de asesoría cibernética y luego los contacte en privado por TOX para negociar un acuerdo

Alcance del daño y afirmaciones previas

  • ShinyHunters ya antes se había atribuido ataques contra Ticketmaster, AT&T, Rockstar Games, ADT y Vercel
  • Según Bleeping Computer, ShinyHunters asegura que en su sitio de filtración de datos aparecen 9,000 escuelas y que la información incluye datos de 275 millones de estudiantes, docentes y otro personal

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Comentarios en Hacker News

  • Desde una perspectiva de primera línea, doy clases en una universidad que usa Canvas y ahora mismo estamos en temporada de exámenes finales
    Hoy a las 5:17 p. m. EDT recibimos el primer correo de aviso de caída por parte de la oficina académica, y llegaron correos adicionales a las 6:24 y 6:57, pero trataban sobre todo de procedimientos de compensación y reemplazo más que de explicar qué estaba pasando realmente
    No había detalles más allá de “interrupción a nivel nacional” y “ataque de ciberseguridad”, y parece que la universidad tampoco sabe más que eso
    Lo inquietante es que dieron la instrucción de que las tareas entregadas por Canvas ahora los estudiantes las envíen directamente por correo a los profesores, lo que no transmite mucha confianza en que esto se vaya a recuperar pronto
    En lo personal, el impacto es menor. Soy profesor de CS, así que gran parte del trabajo de mis estudiantes se hace en equipos del departamento y también se entrega por ahí, y los exámenes reales los hacemos en papel
    Más importante aún, nunca he confiado en el libro de calificaciones de Canvas, así que solo subo las notas a Canvas para que los estudiantes las consulten, y siempre llevo el registro original en una hoja de cálculo local
    Pero para muchos colegas esto es un desastre del nivel de “el edificio se incendió y desaparecieron todos los exámenes y el libro de calificaciones”. Incluso profesores que solo dan clases presenciales trasladaron la mayor parte de sus evaluaciones a la función de “quiz” de Canvas, hasta el punto de aplicar los exámenes finales ahí mismo y usar el libro de calificaciones de Canvas como registro original
    Desde la parte administrativa también se les había recomendado hacerlo así porque “facilita la entrega de calificaciones”. Estos profesores pueden tener pocos o ningún entregable de los estudiantes, y como los propios estudiantes trabajaron desde el principio dentro de Canvas, no hay material que puedan reenviar por correo, e incluso es posible que las notas y la asistencia solo se hayan llevado dentro de Canvas
    Si presentaron calificaciones advisory de mitad de semestre en marzo, tal vez eso siga accesible, pero podría ser todo lo que tengan
    Mi intuición es que esto o se resuelve en unas horas, o tardará semanas. Si hay respaldos con air gap y solo hace falta levantar servidores nuevos, sería lo primero; si no, será lo segundo. No parece haber mucho punto medio
    Si para mañana por la mañana no está resuelto, de verdad no sé cómo nuestra universidad y muchos profesores de todo el país podrán entregar calificaciones justas y razonables
    En el extremo, quizá haya que hacer lo mismo que en el semestre de la pandemia, y también como en el semestre en que en nuestra universidad se incendiaron dos grandes edificios académicos una semana antes de finales: hacer que incluso las materias que normalmente ponen letter grade se reporten como aprobado/reprobado. ¿Qué más se puede hacer?
    Claro, otra opción habría sido no poner todos los huevos en la misma canasta y no confiar tanto en la “nube”, pero ese barco ya zarpó. También me pregunto si alguien sacará alguna lección de esto a largo plazo
    Actualización: a las 11:45 p. m. EDT, la instancia de Canvas de nuestra universidad ya vuelve a funcionar. Espero que se mantenga así, pero por si acaso pienso descargar algunas cosas

    • Es muy fácil enviar por correo al estudiante los registros relacionados cuando completa un quiz u otra actividad
      Pero no lo hacen porque quieren controlar los datos, y no entiendo por qué las universidades no exigen eso
    • Trabajo en TI para educación, y nosotros tampoco sabemos casi nada más
      Hoy todo lo que sabemos salió de un hilo de Reddit y de este hilo de Hacker News. En la comunicación oficial nunca se habló de un ataque, pero la página de inicio de sesión había sido alterada por ShinyHunters
    • También parece posible un enfoque híbrido. Armar rápidamente un examen final o proyecto y darle al estudiante la opción entre aprobado/reprobado o una calificación real
      Y ojalá llegue el día en que SaaS desaparezca y podamos volver a desplegar software que podamos controlar y modificar según lo necesitemos
    • Se me ocurre que podrían hacer un solo examen y definir la calificación de la materia con base en eso
      En realidad así debería ser; las tareas del semestre y, peor aún, la participación o asistencia, no son necesarias para evaluar si el estudiante aprendió el contenido. Que presenten el examen y listo

  • Me sorprende que haya tan pocos comentarios en este hilo. Probablemente millones de estudiantes están siendo afectados en el momento más estresante del año
    Ya de por sí odiaba Canvas y probablemente a todas las demás empresas de sistemas de gestión del aprendizaje, pero esta caída es especialmente ridícula porque ocurre justo cuando las universidades exigen a todos los profesores, sin excepción, subir todo a Canvas por las normas de cumplimiento de la ADA
    Por ejemplo, está explícitamente prohibido incluso pedir que consulten un PDF publicado en un sitio web personal
    Creo que mucha gente aquí no se da cuenta de que a muchos docentes tampoco les gusta que los obliguen a usar Canvas

    • Todavía no han logrado obligarme. Pero es triste que incluso entre profesores de computación haya tantos que no puedan operar la infraestructura básica en línea necesaria para apoyar sus cursos. Claro, la universidad tampoco lo pone fácil
      Otra preocupación seria que tengo con Canvas es la posibilidad de que estén usando todo el material que suben los profesores para entrenar reemplazos con IA. Mis colegas hacen mucho humor negro sobre eso, pero en la práctica he visto poca acción
    • Hoy en día no parece haber mucho traslape entre los estudiantes y los usuarios de HN. Hasta donde sé, yo soy una excepción bastante rara :)
      Por parte de la administración, hasta ahora vimos un correo que empezaba con “Canvas dice” y, una hora después, otro que avisaba que “Canvas quedó fuera de servicio por tiempo indefinido” para dar a entender que entendían la gravedad
      Para quien no lo conozca, Canvas es más o menos un wiki para clases con funciones como quizzes y cosas así
    • El streaming en vivo de clases por Canvas es muy popular. Bastantes estudiantes simplemente las ven desde su dormitorio
      Así que podría pasar que tengan que volver al salón, y eso sería algo digno de ver. El primer día de clases las aulas suelen estar casi al tope o incluso con gente de pie, y luego la asistencia va cayendo. En una clase de 100 personas puede llegar el punto en que solo van unas 10
      Si Canvas no vuelve rápido, también podría haber un caos real por esa razón
    • No entiendo en qué sentido Canvas sería más accesible que HTML y PDF
      Es cierto que los lectores de PDF no son lo ideal para lectores de pantalla, pero ¿no bastaría con subir también una copia en .html?

  • Debería ser ilegal que cualquier empresa pague rescates por ransomware. Sin excepciones, jamás deberían pagar
    El castigo a los atacantes debería estar ligado al sistema que vulneraron. Si atacaron un hospital y alguien murió, eso debería ameritar cadena perpetua o pena de muerte. La pena mínima tendría que ser lo bastante dolorosa como para disuadir ataques
    Claro, eso por sí solo no lo detendrá, y las empresas también deben responder por invertir poco en seguridad. Cada ataque debería investigarse para ver si la empresa cumplía con las prácticas recomendadas y estándares de personal acordados en la industria, y si no cumplía los requisitos, debería haber sanciones punitivas

    • Lo que debería ser ilegal es operar servicios inseguros. Especialmente si manejan datos personales
      Las brechas siguen ocurriendo y a nadie parece importarle. En el peor de los casos, pierden algunos clientes y pagan “monitoreo de crédito” para compensar
      Después de incidentes así debería haber auditorías y procesos penales. Habría que mandar a la cárcel a ejecutivos por fallas de seguridad negligentes. Si alguien puede ir a la cárcel por fraude contable, también debería poder ir por fraude en promesas de ciberseguridad
      Ellos afirman cumplir varios estándares de seguridad https://www.instructure.com/en-au/trust-center/compliance
      Me gustaría ver en una auditoría posterior cuánto de eso estaba realmente implementado
    • Me pregunto si no deberíamos concentrarnos en hacer más difícil enviar dinero a criminales en el extranjero. /ejem/ plataformas de criptomonedas que hacen posible transferir dinero a actores maliciosos /ejem/
    • ¿Cuándo van a empezar los países a tratar los ciberataques como actos de guerra?
      Si el ejército norcoreano entrara a EE. UU. y robara 200 millones de dólares en oro de Fort Knox, habría represalias. Pero si sacan esa misma cantidad hackeando empresas estadounidenses, el gobierno federal no hace nada
    • No parece muy probable que una “pena mínima dolorosa” vaya a disuadir con certeza a extranjeros o a gobiernos extranjeros
    • Si alguien asalta un banco y una persona dentro muere de un infarto, eso es felony murder
      Estaría bien aplicar el mismo principio a los ataques de ransomware, extorsión o filtración de datos. Si a causa de eso alguien se suicida, es homicidio

  • Mis hijos están en plena semana de finales. Es un caos total
    Las universidades no saben nada, Canvas dice que está en “scheduled maintenance”, y algunos profesores dicen que “no tienen copias offline del material”, lo cual parece bastante negligente
    Un grupo de una materia popular parece que va a hacer examen en papel, mientras que otros grupos ya habían presentado hoy más temprano un examen basado en Canvas con cosas como “el segundo intento vale la mitad”
    ¿Cuánto tardará en aparecer un volcado de datos con nombres y calificaciones?
    Esto es como si TurboTax en Estados Unidos programara “scheduled maintenance” el 14 de abril

    • “Scheduled Maintenance” es una completa tontería y, francamente, hace quedar peor a Canvas
      Según la página de estado, al parecer esto sigue contando como 99.996% de disponibilidad. Tomen nota

  • Un amigo que da clases en MIT dijo que le tocó vivir esto
    Me pareció irónico y un poco triste que un lugar como MIT no tuviera personal de TI para mantener una solución on-premise para este propósito
    Pero luego resultó que MIT sí tenía un sistema propio y recientemente se cambió a Canvas. Seguro ahora se están arrepintiendo
    En los últimos 10 años, la decisión de construir vs comprar parece haberse inclinado demasiado hacia comprar, y eso da lástima
    Claro, las organizaciones deben centrarse en sus competencias principales y, a veces, tiene sentido externalizar lo que no lo es. Pero siempre hay desventajas

    • Los sistemas propios son caros de mantener y normalmente no se mantienen al nivel de las opciones comerciales actuales
      Los sistemas de gestión del aprendizaje simplemente son software extremadamente complejo. Participé en la versión propia de mi universidad cuando estaba en licenciatura
    • Empecé mi carrera tecnológica en el sector educativo, así que no me sorprende en absoluto
      El personal de TI ambicioso y competente no se queda mucho tiempo en educación. Los salarios son muy bajos comparados con la industria
      Donde yo trabajaba, después de ciertos años de servicio podías obtener una pensión cómoda, así que el personal de TI quería externalizar lo más posible para no cargar con ningún riesgo para su jubilación. Le echaban la culpa de todo a los consultores y trabajaban lo menos posible
      Literalmente es el lugar donde los sueños mueren
      MIT es famoso por sus excelentes profesores y estudiantes, pero al final la operación de una universidad es bastante estándar. No hace falta un genio rockstar para administrar los servidores de una plataforma de clases

  • Soy estudiante en Stanford, y esta caída está golpeando fuerte a toda la universidad
    A diferencia de escuelas de la costa este como Brown, Harvard o MIT, nosotros estamos en sistema trimestral, así que justo acabamos de terminar los parciales
    Por suerte, el departamento de CS es totalmente independiente de Canvas, pero la mayoría de mis clases de humanidades no lo son
    En una clase de historia del arte nos pidieron subir el trabajo parcial a una carpeta de Google Drive, y otra clase suspendió los quizzes semanales
    Esto pone en evidencia cuánto dependen estudiantes y profesores de Canvas. Ojalá esto vuelva a abrir la conversación sobre salir de una plataforma que ya era bastante mala incluso desde la perspectiva del estudiante

    • Parece que ShinyHunters ya cruzó una línea al meterse con estudiantes y con la joven inteligencia de Estados Unidos
      Ir contra empresas es una cosa; meterse con estudiantes es otra. A los estudiantes déjenlos en paz

  • La respuesta de Canvas es pésima. No hay comunicación ni actualizaciones de estado
    Parece que toda la plataforma fue comprometida, y que no exista ni un solo reporte real sobre la brecha de seguridad que ya ocurrió se ve muy mal
    Dado que la mayoría de las escuelas en EE. UU. están en finales justo ahora, me pregunto qué tan rápido empezarán a aparecer violaciones de SLA y demandas

    • He tratado bastante con Canvas/Instructure. La tecnología está más o menos bien
      La cultura parece estar llena de arrogancia por su posición en el mercado

  • Antes muchas universidades operaban sistemas estudiantiles propios o on-premise
    Este es el lado negativo de la centralización en la nube. Si la infraestructura se ve comprometida, afecta a todos y no solo a una o dos instalaciones individuales
    Me pregunto cómo se sentirán ahora respecto a esa decisión. Aunque igual tal vez da cierta tranquilidad poder decir “no fue culpa nuestra”, algo que quizá no tendrían si la vulnerabilidad hubiera sido en un sistema propio

    • Si se descubre una vulnerabilidad en el software, un atacante puede usar automatización para atacar con la misma facilidad cientos de instalaciones separadas en distintas instituciones
      Dependiendo de la vulnerabilidad, incluso podría ser más fácil si el administrador on-premise no aplicó todas las medidas de seguridad recomendadas
      En realidad, lo que más me intriga aquí es si Instructure tiene responsabilidad financiera por esto. La falla técnica es de Instructure, pero las exigencias de rescate parecen estar dirigidas a las universidades
      Estoy acostumbrado a los SLA de disponibilidad, pero ¿cómo sería un SLA por brecha de seguridad?
    • Si la universidad hubiera invertido tiempo y dinero en construir su propio sistema y luego la hackearan, la responsabilidad habría sido suya
      Ahora pueden simplemente aplaudir como crupier de blackjack, mostrar las palmas y levantarse de la mesa sin responsabilidad. Puede que esa sea una de las mayores ventajas de no construirlo uno mismo y usar un producto
    • Aun así, este modelo probablemente es más seguro. Especialmente porque el hackeo impulsado por IA está haciendo cada vez más difícil depender de la seguridad por oscuridad
      También tiene valor poder culpar a un tercero y caerse junto con todos los demás cuando todo se cae

  • Cuando estaba en preparatoria, en 2016 o 2017, encontré un XSS muy simple en el formulario de entrega de tareas y se lo reporté a mi profesor de programación
    Después de eso, Canvas bloqueó mi cuenta y terminé con lo que quizá fue mi primer y único castigo después de clases. Buenos tiempos

    • En una línea parecida, el software de bloqueo escolar bloqueaba YouTube y los embeds, pero si venían de Canvas los dejaba pasar
      Fueron inteligentes al desactivar el editor HTML para escribir comentarios en los foros, pero olvidaron que, como era un editor de texto enriquecido, podías meter código en data:text/html y copiar el elemento como HTML con formato para pegar el embed tal cual
      Incluso probé todo el conjunto de ejemplos XSS de DOMPurify y encontré una forma de hacer que se descargara contenido personalizado en la computadora de alguien
    • ¿Llegaste a explotar realmente esa vulnerabilidad antes de avisarle al profesor?

  • Si alguien conoce detalles internos, me pregunto si Parchment también pudo verse afectado
    Instructure lo adquirió hace algunos años y maneja una cantidad enorme de historiales académicos
    Edición: https://status.parchment.com/ dice: “Canvas, Canvas Beta y Canvas Test no están disponibles actualmente, pero seguimos monitoreando simultáneamente todos los demás entornos de producto, incluido Parchment. Hasta ahora no tenemos razones para creer que los recursos de Parchment se hayan visto afectados”