W maju 2026 roku ShinyHunters przejął treść miliardów prywatnych wiadomości z platformy Canvas LMS. Hasła użytkowników prawdopodobnie pozostały bezpieczne. To właśnie ten drugi fakt jest problemem.

‍

Grupa przejęła 275 milionów rekordów z globalnej infrastruktury platformy, o niemal 9 000 instytucji edukacyjnych w USA, Australii, Kanadzie i Europie, w tym użytkowników darmowych kont Free-For-Teacher, z których korzystają m.in. polscy wykładowcy prowadzący kursy na zagranicznych uczelniach. Wyciek objął treści prywatnych wiadomości między użytkownikami – np. prośby o dostosowanie egzaminów z powodu stanu zdrowia, opisy trudnych sytuacji osobistych zgłaszane doradcom, szczegóły kursów i relacji z wykładowcami.

‍

Atakujący uzyskał dostęp do warstwy aplikacyjnej przechowującej treść wiadomości, bez przejęcia systemu tożsamości i danych uwierzytelniających. Taki przebieg zdarzeń staje się coraz bardziej prawdopodobny, bo organizacje chronią poszczególne warstwy systemu z różną intensywnością. Hasła przechowywane są zazwyczaj w dedykowanych systemach tożsamości, często zewnętrznych wobec głównej aplikacji, podczas gdy treść wiadomości trafia do baz danych aplikacyjnych o innym profilu zabezpieczeń. To właśnie ta warstwa zawiodła w przypadku Canvas LMS.

‍

Atakujący dysponują teraz materiałem pozwalającym na phishing oparty na autentycznym kontekście rozmów. Wiadomość od „wykładowcy" powołująca się na konkretną wymianę z systemu jest trudna do zidentyfikowania jako fałszywa nawet dla ostrożnego użytkownika. Hasło można zmienić w ciągu minuty, ale kontekst rozmowy nadal pozostaje w rękach atakującego.

‍

Ten sam mechanizm dotyczy każdej platformy, w której użytkownicy komunikują się prywatnie i w której rozmowy zawierają wrażliwy kontekst operacyjny. W przypadku Microsoft Teams i Slack skradzione wiadomości pozwalają atakującemu na precyzyjne podszycie się pod menedżera lub współpracownika zlecającego konkretne działanie, np. zmianę konfiguracji systemu, otwarcie portu sieciowego, wykonanie przelewu. Pracownik, który widzi polecenie od „przełożonego" powołujące się na projekt, który faktycznie prowadzi, i na rozmowę, która faktycznie się odbyła, ma ograniczone narzędzia weryfikacji. Dla sektora finansowego to scenariusz rodzący natychmiastowe skutki operacyjne, gdyż po stronie atakującego wystarczy jedno skutecznie zrealizowane polecenie.

‍

Rejestr ryzyka uwzględnia zazwyczaj scenariusz wycieku danych uwierzytelniających lub danych osobowych w klasycznym rozumieniu. Rzadziej pojawia się w nim pytanie o to, co staje się możliwe, gdy atakujący przejmie treść komunikacji między użytkownikami systemu i czy organizacja ma plan na taki scenariusz.

‍

Chcesz przetestować, jak Twoja organizacja zareaguje na ten scenariusz? Przeprowadź grę sztabową opartą na incydencie Canvas LMS – gotowy scenariusz do pobrania lub sesja z zespołem Davidson: zapytania@davidson.pl

‍