R
מחילת הארנב 20 במאי 2026 · 4 דק׳ קריאה

Canvas נפרץ: ShinyHunters גנבו נתוני 275 מיליון תלמידים ומורים מ-8,800 מוסדות חינוך

אבטחת מידעכופרהפרצת נתוניםSaaSחינוךShinyHuntersXSSמתחילים

דמיינו שכל ההודעות הפרטיות שהחלפתם אי פעם עם המרצה שלכם — שאלות על ציונים, קשיים אישיים, שיחות רגישות — מודפסות על נייר ונשפכות לרחוב. לא בבית הספר שלכם בלבד, אלא ב-8,800 מוסדות חינוך ברחבי העולם, בו-זמנית.

זה בדיוק הסדר הגודל של מה שאירע לפלטפורמת Canvas LMS של חברת Instructure בחודש מאי 2026.

מה זה Canvas ולמה זה נוגע לכל כך הרבה אנשים?

Canvas LMS (Learning Management System) היא מערכת ניהול למידה — הפלטפורמה שדרכה אוניברסיטאות ותיכונים רבים ברחבי העולם מעבירים משימות, מנהלים ציונים ומאפשרים שיחות בין תלמידים ומורים. אם לומדים בשלוש מילים: Canvas היא “ה-WhatsApp של הכיתה” — אבל עם ציונים, הגשות, ושיחות פרטיות.

החברה שמאחוריה, Instructure, משרתת כ-8,809 מוסדות חינוך ברחבי העולם — אוניברסיטאות, תיכונים, וגם גורמי ממשלה בתחום החינוך. כשמערכת כזו נפרצת, לא מדובר בחשבון אחד — מדובר ב-275 מיליון אנשים.

ציר הזמן: ארבעה שבועות של כאוס

מה שאפיין את הפריצה הזו לא היה רק היקפה, אלא האופן שבו היא התפתחה — בשני גלים, ובתזמון הגרוע ביותר האפשרי.

25 באפריל 2026 — ShinyHunters חודרים לסביבת Canvas.

29 באפריל — Instructure מגלה את הפריצה, חוסמת את הגישה ושוכרת חוקרי פורנזיקה.

3 במאי — ShinyHunters מציגים דרישת כופרה: “שלמו — אחרת נפרסם 3.65TB של נתונים.”

6 במאי — Instructure מכריזה שהמצב “טופל”.

7 במאי — ShinyHunters פורצים שוב. הפעם הם מחליפים את דפי הכניסה של מוסדות חינוך שלמים במסך כופרה — בדיוק בשבוע של בחינות הגמר.

11 במאי — Instructure מודיעה שהגיעה “להסכם” עם התוקפים. הנתונים, לפי הצהרתם, נהרסו.

12 במאי — התקרית הוכרזה רשמית כסגורה.

שיטת הפריצה: כאשר “חינוך בחינם” הופך לדלת פתוחה

מה הם חשבונות FFT (Free-for-Teacher)?

Canvas מציעה תוכנית בשם FFT — Free-for-Teacher: כל מורה יכול לפתוח סביבת Canvas פרטית, בחינם, ללא אימות מוסדי. זוהי תוכנית לגיטימית שנועדה להנגיש את הכלי — אבל יצרה בעיית אבטחה ארכיטקטונית משמעותית.

הבעיה: חשבונות ה-FFT חלקו אותה תשתית עם חשבונות מוסדיים — אוניברסיטאות ותיכונים עם מאות אלפי משתמשים — אך עם בקרות גישה חלשות יותר. כמו בניין משרדים שבו לכל שכן יש כרטיס כניסה לאותה מערכת, אבל חדרי השכנים לא נעולים היטב.

סקריפטינג חוצה-אתרים כנקודת כניסה

ShinyHunters זיהו חולשות XSS בחשבונות FFT — סקריפטינג חוצה-אתרים. XSS פועלת כך: כשאפליקציה מציגה קלט של משתמש (טקסט, HTML) מבלי לסנן אותו, תוקף יכול להכניס קוד JavaScript זדוני שירוץ בדפדפן של המשתמש הבא שיצפה בתוכן.

בחשבונות FFT, הסינון היה לקוי — מה שאפשר לתוקפים להריץ קוד בהקשר של הפלטפורמה. משם הם ביצעו הסלמת הרשאות: תהליך שבו גישה מוגבלת מנוצלת כ-דריסת רגל לרכישת הרשאות גבוהות יותר — עד לגישה אדמיניסטרטיבית על הסביבה המוסדית הרחבה.

מדוע הפריצה השנייה קרתה?

לאחר שהחברה “תיקנה” — התוקפים פרצו שוב. שלושה הסברים אפשריים:

  1. דלת אחורית שהושארה מכוון — קוד או גישה שהתוקפים הטמינו בסיבוב הראשון לפני שנחסמו.
  2. זהויות שלא סובבו — חשבונות נוספים שנפגעו ולא זוהו בשלב הפורנזיקה הראשוני.
  3. הפגם הארכיטקטוני לא נפתר — כל עוד ה-FFT חולק תשתית עם חשבונות מוסדיים, וכל עוד קיימות חולשות XSS לא מתוקנות, הפרצה נותרה פתוחה.

מה נגנב?

מ-3.65TB של נתונים, מה שאושר כגנוב כולל:

  • שמות מלאים, כתובות אימייל, מספרי תעודת סטודנט של תלמידים ומורים
  • הודעות פרטיות בין תלמידים ומורים — כולל שיחות רגישות על קשיים אקדמיים, מצבים אישיים, ובקשות מיוחדות
  • נתוני קורסים, הגשות, ובכל הנוגע ל-8,809 מוסדות חינוך

כ-275 מיליון אנשים מוגדרים כנפגעים פוטנציאליים.

על הכופר: האם “הנתונים נהרסו” אמין?

Instructure אישרה שהגיעה “להסכם” עם ShinyHunters. הסכום לא אושר רשמית — הערכות בתעשייה מדברות על סביבות 10 מיליון דולר.

אבל מומחי אבטחה מזהירים: אין שום דרך אמינה לאמת שנתונים גנובים נהרסו. זה נכון לכל תשלום כופר — ובפרט כאשר מדובר בקבוצות שבעברן מכרו נתונים גם לאחר הצהרות על השמדתם.

מי הם ShinyHunters?

ShinyHunters הם קבוצת פשע סייברי מסחרית הפועלת לפחות מאז 2020. הם אינם תוקפים אידיאולוגיים — הם עסק. הם מתמחים בגניבת נתוני SaaS בהיקפים גדולים ומכירתם ברשת האפלה.

פרצות ידועות שיוחסו להם:

  • Ticketmaster — מאות מיליוני רשומות לקוחות
  • AT&T — 70 מיליון רשומות
  • קבוצות קשורות (לעתים מכונות “Coinbase Cartel”) תקפו לאחרונה גם את Grafana

השם המשותף: SaaS בקנה מידה גדול, נתוני משתמשים, ודרישות כופר לפני פרסום.

מה לעשות עכשיו?

אם אתם תלמידים, מורים, או עובדי מוסד חינוכי שמשתמש ב-Canvas:

  • שנו את סיסמת Canvas שלכם מיד — גם אם כבר עשיתם זאת לאחרונה.
  • היזהרו מפישינג ממוקד — התוקפים יודעים כעת את שמכם, המוסד שלכם, ועם מי הייתם בקשר. מייל שמתחזה לקנבס, לאוניברסיטה, או ל”מרצה שלכם” הופך לאמין בצורה מדאיגה.
  • הפעילו אימות רב-שלבי (MFA) בכל שירות שמאפשר זאת — Canvas, אימייל, שירותי ממשלה. MFA מקשה על תוקף לנצל סיסמה גנובה.
  • היו ספקנים כלפי תקשורת דחופה — “חשבונך הושעה”, “נדרשת אימות מיידי”, “קרא תגובה לציון שלך” — כל אלה תבניות פישינג קלאסיות שיהיו יעילות במיוחד כשהתוקפים מחזיקים בפרטים האמיתיים שלכם.

מקורות: Rescana | Bitdefender Business Insights | CloudSkope

תגובות