Canvas tumbang dan ShinyHunters mengancam akan membocorkan data sekolah

 (theverge.com)
1 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Platform manajemen pembelajaran Canvas milik Instructure tumbang setelah mengonfirmasi pelanggaran data berskala besar, dan Canvas, Canvas Beta, serta Canvas Test dialihkan ke mode pemeliharaan
  • Dampak pelanggaran mencakup nama siswa, alamat email, nomor ID, dan pesan
  • Siswa yang mengakses Canvas melihat pesan bahwa kelompok peretas ShinyHunters mengaku bertanggung jawab atas serangan tersebut dan mengancam akan mempublikasikan data sekolah
  • ShinyHunters mengancam akan membocorkan semua data jika tidak ada negosiasi hingga akhir hari pada 12 Mei 2026, dan menuntut sekolah yang terdampak untuk menghubungi mereka secara privat lewat TOX guna mencapai kesepakatan
  • Instructure mengatakan telah mendistribusikan patch untuk memperkuat keamanan sistem setelah pelanggaran minggu lalu, sementara ShinyHunters mengklaim situs kebocoran datanya memuat data dari 9.000 sekolah dan 275 juta siswa, guru, serta staf

Situasi gangguan

  • Halaman status Instructure memuat pemberitahuan bahwa “Canvas, Canvas Beta, Canvas Test telah dialihkan ke mode pemeliharaan”
  • Instructure menyatakan layanan diperkirakan segera pulih dan akan memberikan pembaruan secepat mungkin

Ancaman ShinyHunters

  • ShinyHunters mengklaim telah kembali membobol Instructure, dan menyatakan Instructure tidak menghubungi mereka lalu malah memasang “patch keamanan”
  • Pesan tersebut menyertakan tautan ke daftar sekolah yang diklaim ShinyHunters berhasil dibobol melalui Canvas
  • Mereka menuntut agar sekolah dalam daftar terdampak yang ingin mencegah publikasi data berkonsultasi dengan perusahaan penasihat siber lalu menghubungi mereka secara privat lewat TOX untuk merundingkan penyelesaian

Skala dampak dan klaim sebelumnya

  • ShinyHunters sebelumnya juga pernah mengaku bertanggung jawab atas serangan terhadap Ticketmaster, AT&T, Rockstar Games, ADT, dan Vercel
  • Menurut Bleeping Computer, ShinyHunters mengklaim situs kebocoran datanya mencantumkan 9.000 sekolah dan mencakup data 275 juta siswa, guru, dan staf lainnya

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Komentar Hacker News

  • Dari sudut pandang orang lapangan, saya mengajar di universitas yang memakai Canvas dan sekarang sedang masa ujian akhir
    Hari ini pukul 5:17 sore EDT kami pertama kali menerima email notifikasi gangguan dari bagian akademik, lalu ada email tambahan pada 6:24 dan 6:57, tetapi isinya lebih banyak soal prosedur kompensasi dan alternatif daripada apa yang sebenarnya sedang terjadi
    Selain “gangguan nasional” dan “serangan siber”, tidak ada detail, dan tampaknya pihak kampus juga tidak tahu lebih banyak dari itu
    Yang cukup mengkhawatirkan adalah ada instruksi agar tugas yang biasanya dikumpulkan lewat Canvas sekarang dikirim mahasiswa langsung ke dosen lewat email, yang memberi kesan mereka tidak yakin layanan akan segera pulih
    Secara pribadi dampaknya kecil bagi saya. Saya dosen CS, jadi banyak pekerjaan mahasiswa dilakukan di peralatan departemen dan pengumpulannya juga lewat sana, sementara ujian sebenarnya dikerjakan di kertas
    Yang lebih penting, saya tidak pernah benar-benar mempercayai buku nilai Canvas, jadi saya hanya mengunggah nilai ke Canvas untuk dilihat mahasiswa, sedangkan buku nilai asli selalu saya kelola di spreadsheet lokal
    Tetapi bagi banyak kolega, ini setara dengan bencana “gedung terbakar dan semua lembar ujian serta buku nilai hilang”. Bahkan dosen yang hanya mengajar tatap muka pun memindahkan sebagian besar penilaian ke fitur “quiz” di Canvas, termasuk ujian akhir, dan menjadikan buku nilai Canvas sebagai catatan utama
    Pihak administrasi juga mendorong itu dengan alasan “akan memudahkan pengumpulan nilai akhir”. Dosen-dosen seperti ini mungkin memiliki sangat sedikit atau bahkan tidak punya salinan hasil kerja mahasiswa, dan mahasiswanya pun mungkin awalnya membuat semuanya langsung di dalam Canvas, jadi tidak ada yang bisa dikirim ulang lewat email; bahkan catatan nilai atau kehadiran pun mungkin hanya ada di Canvas
    Jika mereka sempat mengirim nilai advisory tengah semester pada bulan Maret, mungkin itu masih bisa diakses, tetapi bisa jadi hanya itu yang ada
    Insting saya bilang ini akan selesai dalam hitungan jam, atau justru butuh berminggu-minggu. Kalau ada backup air-gapped dan mereka hanya perlu menyalakan server baru, maka skenario pertama; kalau tidak, ya yang kedua. Sepertinya tidak ada banyak kemungkinan di tengah
    Kalau sampai besok pagi belum pulih, saya benar-benar tidak tahu bagaimana universitas kami dan banyak dosen di seluruh negeri bisa memberikan nilai yang adil dan masuk akal
    Dalam skenario ekstrem, mungkin kami harus melakukan seperti saat semester pandemi, dan seperti semester ketika dua gedung akademik besar di kampus kami benar-benar terbakar seminggu sebelum ujian akhir: bahkan mata kuliah yang biasanya memakai letter grade harus diserahkan sebagai lulus/tidak lulus. Memangnya ada pilihan lain?
    Tentu saja ada cara untuk tidak menaruh semua telur dalam satu keranjang dan tidak terlalu percaya pada “cloud”, tetapi untuk saat ini semuanya sudah terlanjur. Saya juga penasaran apakah dalam jangka panjang akan ada yang benar-benar belajar dari kejadian ini
    Pembaruan: per 11:45pm EDT, instance Canvas universitas kami sudah berfungsi lagi. Semoga tetap begitu, tetapi untuk berjaga-jaga saya akan mengunduh beberapa hal

    • Sangat mudah untuk mengirim catatan terkait ke email mahasiswa setiap kali mahasiswa menyelesaikan kuis atau semacamnya
      Fakta bahwa itu tidak dilakukan menunjukkan mereka ingin mengontrol data, dan saya tidak paham kenapa universitas-universitas tidak menuntut hal itu
    • Saya bekerja di IT sektor pendidikan, dan kami juga hampir tidak tahu apa-apa lebih banyak
      Semua yang kami tahu hari ini berasal dari thread Reddit dan thread Hacker News. Dalam komunikasi resmi sama sekali tidak disebut serangan, tetapi halaman login sudah dirusak oleh ShinyHunters
    • Pendekatan hibrida tampaknya juga mungkin. Misalnya buru-buru membuat ujian akhir atau proyek, lalu memberi mahasiswa pilihan antara lulus/tidak lulus atau nilai sesungguhnya
      Dan semoga suatu hari SaaS lenyap, dan kita bisa kembali mendistribusikan perangkat lunak yang bisa kita kendalikan dan modifikasi sendiri sesuai kebutuhan
    • Bukankah kita bisa saja mengadakan satu ujian lalu menentukan nilai mata kuliah berdasarkan itu
      Sebenarnya memang begitu seharusnya; nilai tugas sepanjang semester, atau lebih buruk lagi nilai kehadiran, tidak diperlukan untuk menilai apakah mahasiswa benar-benar mempelajari materinya. Lakukan ujian lalu selesai

  • Saya heran komentar di thread ini sedikit sekali. Mungkin ada jutaan mahasiswa yang terdampak pada periode paling menegangkan dalam setahun
    Saya memang sudah tidak suka Canvas, dan mungkin juga semua vendor LMS lainnya, tetapi yang membuat gangguan ini terasa sangat ironis adalah bahwa ini terjadi tepat ketika universitas mewajibkan semua dosen, tanpa pengecualian, menaruh semua materi ke Canvas demi kepatuhan ADA
    Misalnya, bahkan hanya merujuk PDF yang diunggah di situs pribadi pun dilarang secara eksplisit
    Sepertinya banyak orang di sini tidak menyadari bahwa banyak pengajar juga tidak senang dipaksa memakai Canvas

    • Sampai sekarang mereka belum berhasil memaksa saya. Tapi menyedihkan juga melihat betapa banyak dosen di bidang komputasi yang bahkan tidak bisa menjalankan infrastruktur online dasar yang diperlukan untuk mendukung pengajaran mereka. Tentu saja pihak universitas juga tidak mempermudah
      Kekhawatiran besar lain saya soal Canvas adalah kemungkinan mereka memakai semua materi yang diunggah dosen untuk melatih AI pengganti. Banyak rekan membuat lelucon hitam soal ini, tetapi saya belum melihat banyak tindakan nyata
    • Sepertinya mahasiswa zaman sekarang tidak terlalu banyak irisan dengan pengguna HN. Setahu saya saya termasuk pengecualian yang cukup langka :)
      Dari pihak administrasi, sejauh ini kami baru menerima satu email yang diawali dengan “Canvas mengatakan”, lalu satu jam kemudian email lain yang bilang “Canvas down untuk waktu tak terbatas” agar kami tahu mereka sadar ini serius
      Bagi yang tidak tahu, Canvas itu pada dasarnya lebih mirip wiki untuk kelas dengan fitur tambahan seperti kuis
    • Streaming kelas secara langsung lewat Canvas sangat populer. Cukup banyak mahasiswa yang hanya menonton dari asrama
      Jadi mungkin mahasiswa harus kembali ke ruang kelas, dan itu bisa jadi pemandangan menarik. Pada hari pertama kuliah biasanya ruang kuliah hampir penuh sampai ada yang berdiri, kadang memang benar-benar penuh, lalu jumlahnya terus menurun. Untuk kelas berisi 100 orang, kadang tinggal 10 orang yang datang
      Kalau Canvas tidak segera pulih, kekacauan nyata juga bisa membesar karena alasan ini
    • Saya tidak paham bagaimana tepatnya Canvas dianggap lebih aksesibel daripada HTML dan PDF
      Memang pembaca PDF bukan yang terbaik untuk screen reader, tetapi bukankah kita bisa sekaligus mengunggah salinan .html juga

  • Harusnya ilegal bagi perusahaan mana pun untuk membayar tebusan ransomware. Tidak boleh ada pengecualian
    Hukuman bagi penyerang harus terkait dengan sistem yang mereka bobol. Kalau menyerang rumah sakit dan seseorang meninggal, itu pantas dihukum penjara seumur hidup atau hukuman mati. Hukuman minimum harus cukup menyakitkan untuk benar-benar menimbulkan efek jera
    Tentu saja ini saja tidak cukup, dan perusahaan juga harus bertanggung jawab atas kurangnya investasi keamanan. Setiap serangan seharusnya memicu penyelidikan apakah perusahaan tersebut memenuhi standar praktik terbaik industri yang telah disepakati, standar personel, dan sebagainya; bila tidak, harus ada hukuman yang bersifat menghukum

    • Yang seharusnya ilegal adalah menjalankan layanan yang tidak aman. Terutama bila menangani data pribadi
      Kebocoran terus terjadi dan tidak ada yang benar-benar peduli. Paling buruk mereka hanya kehilangan beberapa pelanggan dan membelikan “pemantauan kredit”
      Setelah kejadian seperti ini harus ada audit dan penuntutan. Eksekutif perusahaan harus dipenjara atas kegagalan keamanan yang lalai. Kalau orang bisa masuk penjara karena penipuan akuntansi, maka penipuan janji keamanan siber juga harus bisa dipidana
      Mereka mengklaim mematuhi berbagai standar keamanan https://www.instructure.com/en-au/trust-center/compliance
      Saya ingin lihat dalam audit pascainsiden berapa banyak yang benar-benar mereka terapkan
    • Bukankah seharusnya fokusnya adalah membuat lebih sulit mengirim uang ke penjahat luar negeri. /hmm/ platform kripto yang memungkinkan transfer dana ke pelaku jahat /hmm/
    • Kapan negara-negara mulai memperlakukan serangan siber sebagai tindakan perang
      Kalau tentara Korea Utara datang ke AS dan mencuri emas senilai 200 juta dolar dari Fort Knox, pasti ada pembalasan. Tapi kalau jumlah yang sama dicuri dengan meretas perusahaan AS, pemerintah federal tidak melakukan apa-apa
    • Saya rasa “hukuman minimum yang menyakitkan” tidak akan benar-benar membuat warga negara asing atau pemerintah asing jera
    • Kalau seseorang merampok bank lalu orang di dalamnya meninggal kena serangan jantung, itu felony murder
      Akan bagus kalau prinsip yang sama diterapkan pada serangan ransomware atau pemerasan/kebocoran data. Kalau akibatnya ada orang bunuh diri, itu pembunuhan

  • Anak-anak saya sedang di tengah minggu ujian akhir. Ini benar-benar kacau total
    Universitas tidak tahu apa-apa, Canvas mengklaim sedang dalam “scheduled maintenance”, dan ada dosen yang bilang “tidak punya salinan offline materi”, yang terdengar cukup ceroboh
    Salah satu rombongan kelas populer tampaknya akan beralih ke ujian kertas, sementara rombongan lain sepertinya sudah sempat mengikuti ujian berbasis Canvas hari ini dengan aturan seperti “percobaan kedua nilainya setengah”
    Berapa lama lagi sampai nama dan nilai muncul di dump data
    Ini seperti TurboTax di AS menjadwalkan “scheduled maintenance” pada 14 April

    • “Scheduled Maintenance” itu omong kosong total, dan sejujurnya malah membuat Canvas terlihat lebih buruk
      Menurut status page, rupanya ini masih dihitung sebagai 99.996% uptime. Patut dicatat

  • Seorang teman yang mengajar di MIT bilang dia terdampak juga
    Rasanya ironis dan agak menyedihkan bahwa tempat seperti MIT tidak punya staf IT untuk mempertahankan solusi on-premise untuk keperluan seperti ini
    Tapi ternyata MIT memang punya sistem buatan sendiri dan baru-baru ini beralih ke Canvas. Mereka mungkin sedang menyesal sekarang
    Selama 10 tahun terakhir, keputusan bangun sendiri vs beli terasa terlalu berat condong ke arah membeli, dan itu disayangkan
    Tentu organisasi harus fokus pada kompetensi inti, dan kadang memang masuk akal menyerahkan hal yang bukan kompetensi inti ke vendor luar. Tapi selalu ada sisi negatifnya

    • Sistem buatan sendiri mahal untuk dipelihara, dan biasanya juga tidak mampu menandingi opsi komersial yang ada saat ini
      LMS memang perangkat lunak yang sangat kompleks. Saat S1 saya pernah terlibat dengan versi buatan kampus kami
    • Saya memulai karier teknologi di sektor pendidikan, jadi ini sama sekali tidak mengejutkan
      Staf IT yang ambisius dan kompeten tidak bertahan lama di dunia pendidikan. Gajinya sangat rendah dibanding industri
      Tempat saya dulu bekerja menawarkan pensiun nyaman setelah masa kerja tertentu, jadi staf IT berusaha mengalihdayakan sebanyak mungkin agar tidak menanggung risiko apa pun terhadap dana pensiun mereka. Semua masalah dilempar ke konsultan dan mereka bekerja sesedikit mungkin
      Benar-benar tempat di mana mimpi mati
      MIT terkenal karena dosen dan mahasiswanya hebat, tetapi pada akhirnya menjalankan universitas itu cukup pekerjaan yang standar. Tidak perlu genius rockstar untuk mengelola server platform perkuliahan

  • Saya mahasiswa Stanford, dan gangguan ini berdampak besar ke seluruh kampus
    Berbeda dengan kampus pantai timur seperti Brown, Harvard, dan MIT, kami memakai sistem quarter, jadi kami justru baru selesai ujian tengah semester
    Untungnya departemen CS sepenuhnya independen dari Canvas, tetapi sebagian besar kelas humaniora saya tidak
    Ada kelas sejarah seni yang meminta tugas tengah semester diunggah ke folder Google Drive, dan kelas lain menghentikan kuis mingguan
    Kejadian ini menunjukkan betapa bergantungnya mahasiswa dan pengajar pada Canvas. Dari sudut pandang mahasiswa juga, saya berharap ini memicu lagi pembahasan untuk meninggalkan platform yang sejak awal memang sudah kurang bagus

    • Fakta bahwa ShinyHunters sampai mengganggu mahasiswa dan kaum muda intelektual Amerika terasa benar-benar sudah kelewatan
      Menargetkan perusahaan itu satu hal, tapi mengganggu mahasiswa itu lain lagi. Mahasiswa seharusnya dibiarkan saja

  • Respons Canvas sangat buruk. Tidak ada komunikasi, tidak ada pembaruan status
    Platform ini tampak seperti benar-benar telah dikompromikan, dan sangat buruk bahwa bahkan tidak ada satu pun laporan nyata tentang insiden keamanan yang jelas-jelas sudah terjadi
    Sebagian besar sekolah di AS sekarang sedang menjalankan ujian akhir, jadi saya penasaran seberapa cepat pelanggaran SLA dan gugatan hukum akan mulai muncul

    • Saya sudah sering berurusan dengan Canvas/Instructure. Teknologinya ya lumayan
      Budayanya terasa arogan, mungkin karena posisi mereka di pasar

  • Dulu banyak universitas menjalankan sistem mahasiswa buatan sendiri atau on-premise
    Inilah sisi buruk sentralisasi cloud. Kalau infrastrukturnya dibobol, dampaknya bukan ke satu atau dua instalasi terpisah, tetapi ke semuanya
    Saya penasaran bagaimana perasaan mereka sekarang soal keputusan itu. Meski begitu, setidaknya mereka bisa bilang “ini bukan salah kami”, jadi mungkin secara emosional terasa lebih ringan dibanding kalau kerentanan itu ada di sistem buatan sendiri

    • Kalau ada kerentanan dalam perangkat lunak, peretas tetap bisa secara otomatis menyerang ratusan instalasi terpisah milik institusi berbeda dengan cara yang sama mudahnya
      Tergantung jenis kerentanannya, justru bisa lebih mudah pada instalasi on-premise bila admin lokal tidak menerapkan semua langkah keamanan yang direkomendasikan
      Yang sebenarnya lebih saya penasaran adalah apakah Instructure punya tanggung jawab finansial dalam kasus ini. Menarik bahwa kegagalan teknis ada di pihak Instructure, tetapi tuntutan tebusan diarahkan ke universitas
      Saya terbiasa dengan SLA uptime, tetapi seperti apa SLA untuk insiden keamanan
    • Kalau universitas menghabiskan waktu dan uang membangun sistem sendiri lalu sistem itu diretas, itu akan jadi tanggung jawab mereka
      Sekarang mereka bisa berdiri seperti dealer blackjack, menepuk tangan dan menunjukkan telapak tangan, lalu meninggalkan meja tanpa tanggung jawab. Mungkin itu salah satu keuntungan terbesar memakai produk alih-alih membuat sendiri
    • Pendekatan ini tetap lebih aman. Terutama karena peretasan berbasis AI membuat semakin sulit bergantung pada keamanan lewat obscurity
      Bisa menyalahkan pihak lain juga ada nilainya, dan ada nilai tersendiri dalam sama-sama down saat semuanya down bersama

  • Saat masih SMA, sekitar 2016 atau 2017, saya pernah menemukan XSS yang sangat sederhana di form pengumpulan tugas dan memberi tahu guru pemrograman saya
    Setelah itu Canvas mengunci akun saya, dan saya mendapat hukuman sepulang sekolah pertama saya—dan mungkin satu-satunya. Masa-masa indah

    • Dengan nada yang mirip, perangkat lunak pemblokir sekolah memblokir YouTube dan embed, tetapi mengizinkannya kalau berasal dari Canvas
      Menonaktifkan editor HTML untuk menulis komentar diskusi memang langkah cerdas, tetapi mereka lupa bahwa itu editor rich text, jadi dengan memasukkan kode ke data:text/html lalu menyalin elemennya sebagai HTML berformat, Anda bisa menempelkan embed apa adanya
      Saya bahkan menjalankan seluruh contoh XSS DOMPurify, dan menemukan satu cara membuat komputer seseorang mengunduh konten khusus pengguna
    • Apakah Anda benar-benar mengeksploitasi kerentanannya sebelum memberi tahu guru

  • Kalau ada orang dalam yang tahu, saya penasaran apakah Parchment juga berpotensi terdampak
    Beberapa tahun lalu diakuisisi oleh Instructure, dan mereka menangani jumlah transkrip akademik yang sangat besar
    Edit: https://status.parchment.com/ menyatakan “Canvas, Canvas Beta, dan Canvas test saat ini tidak tersedia, tetapi kami secara bersamaan memantau semua lingkungan produk lain termasuk Parchment. Saat ini kami tidak punya alasan untuk percaya bahwa resource Parchment ikut terdampak”