Az oktatási technológia történetének egyik legsúlyosabb biztonsági incidense rázta meg a globális szektort 2026 májusában. A ShinyHunters néven ismert hackercsoport bejelentette, hogy sikeresen feltörték az Instructure által üzemeltetett Canvas keretrendszert, amely a világ egyik legelterjedtebb tanulásmenedzsment rendszere (LMS). A támadók állítása szerint 280 millió tanár, diák és iskolai alkalmazott személyes adataihoz fértek hozzá, globális szinten megbénítva az oktatási intézmények digitális infrastruktúráját.
A digitális tanterem ostroma
A támadás nem egyetlen ponton érte a rendszert, hanem egy összetett, több hullámban zajló adathalászati és zsarolóvírus-akció keretében valósult meg. A biztonsági szakértők szerint a hackerek először 2026. április végén szereztek jogosulatlan hozzáférést a Canvas felhőalapú környezetéhez. Bár az Instructure kezdetben azt közölte, hogy sikerült elszigetelniük a problémát, május 7-én a támadók látványos ellentámadást indítottak: több ezer intézmény bejelentkező oldalát saját zsaroló üzenetükre cserélték le, amelyben közvetlen tárgyalásra szólították fel az iskolákat.
Az ellopott adatok és a módszertan
A ShinyHunters állítása szerint összesen 3,65 terabájtnyi adatot tulajdonítottak el. A zsákmányolt állományok között nem csupán alapvető azonosítók szerepelnek, hanem mélyebb, bizalmas interakciók is. A támadók a Free-For-Teacher (ingyenes tanári) fiókok egyik sebezhetőségét kihasználva jutottak be a központi adatbázisokhoz, megkerülve az egyéni iskolai tűzfalakat. Ez a központosított architektúra elleni támadás rávilágított az oktatási ellátási lánc sérülékenységére.
Kritikus hatások az oktatási ökoszisztémára
A szivárgás következtében számos egyetem és iskolakerület kényszerült a Canvas rendszerének ideiglenes leállítására, éppen a vizsgaidőszak közepén. Az incidens különösen súlyosan érintette az Egyesült Államok felsőoktatási intézményeit, ahol a piaci részesedés meghaladja a 40 százalékot, de a hatások Európában és Ausztráliában is érezhetőek voltak. A hackerek május 12-ig adtak haladékot a váltságdíj kifizetésére, ellenkező esetben az adatok nyilvános közzétételével fenyegetnek.
| Paraméter | Részletek |
|---|---|
| Érintett felhasználók száma | Kb. 275-280 millió fő |
| Érintett intézmények | 8 809 egyetem és iskolakerület |
| Ellopott adatmennyiség | 3,65 terabájt |
| Kompromittált adattípusok | Név, e-mail, diákazonosító, privát üzenetek, kurzusadatok |
| Felelős csoport | ShinyHunters |
| Váltságdíj határidő | 2026. május 12. |
A szivárgás magyar vonatkozásai
Bár a Canvas elsősorban az angolszász nyelvterületen domináns, a magyar felsőoktatási intézmények közül is többen használják a rendszert kiegészítő oktatási platformként vagy nemzetközi együttműködések keretében. A hazai intézményeknek javasolt az API-kulcsok azonnali rotálása és a kétlépcsős azonosítás (MFA) kiterjesztése minden felhasználóra. A magyarországi diákok és oktatók számára, akik nemzetközi kurzusokon vettek részt a Canvas felületén, fokozott figyelmet kell fordítaniuk a névre szóló adathalász kísérletekre, amelyek az ellopott privát üzenetek tartalmát használhatják fel a hitelesség látszatának keltésére.
Biztonsági kilátások és védekezés
Az Instructure válaszlépésként ideiglenesen felfüggesztette az ingyenes tanári fiókokat és kényszerített jelszómódosítást írt elő az érintett szegmensekben. A kiberbiztonsági elemzők szerint ez az eset precedenst teremthet az EdTech (oktatási technológia) szabályozásában, szigorúbb biztonsági előírásokat követelve a központosított szolgáltatóktól. A felhasználóknak javasolt az egyedi jelszavak használata és a személyes adatok megosztásának minimalizálása az online tanulási platformokon.
