قراصنة ShinyHunters يخترقون منصة Canvas التعليمية ويهددون بكشف بيانات 231 مليون شخص
تعرّضت منصة Canvas التعليمية لاختراق مزدوج على يد مجموعة ShinyHunters التي تدّعي سرقة بيانات تمس 231 مليون مستخدماً في ما يزيد على 9000 مؤسسة تعليمية، مع تهديد بنشرها في 12 مايو.
في خضم موسم الامتحانات النهائية، وجدت آلاف المدارس والجامعات حول العالم نفسها أمام أزمة غير متوقعة: صفحات تسجيل الدخول إلى منصة Canvas التعليمية مشوّهة برسائل ابتزاز. كانت مجموعة القرصنة ShinyHunters تُعلن عن اختراقها الثاني لشركة Instructure، المشغّل لمنصة Canvas، في غضون أسبوع واحد.
الاختراق الأول: قاعدة بيانات ضخمة
بدأت القصة في الثلاثين من أبريل 2026، حين استغلت المجموعة ثغرةً في بنية الشركة التحتية للوصول إلى قواعد بياناتها. أعلنت Instructure بتاريخ الأول من مايو أن الاختراق قد وقع، وأُغلقت في أعقابه خدمات Canvas Data 2 وCanvas Beta. وبحسب ما أعلنته المجموعة، جرى الاستيلاء على بيانات تمسّ ما يزيد على 231 مليون شخص موزعين على نحو 9000 مؤسسة تعليمية من بينها مدارس وجامعات في مختلف أنحاء العالم.
بيانات الطلاب والمعلمين
شملت المعلومات المسرّبة بحسب التقارير الأسماءَ وعناوين البريد الإلكتروني الشخصية والرسائل المتبادلة بين المعلمين والطلاب وأرقام بطاقات الهوية الطلابية. في المقابل، أكدت Instructure أن كلمات المرور وأرقام الضمان الاجتماعي لم تُخترق في هذه الحادثة. غير أن الرسائل الخاصة بين الطلاب وأساتذتهم تُمثّل بحد ذاتها مخزوناً بالغ الحساسية يطال الجميع.
الاختراق الثاني: تشويه صفحات الدخول
لم تمضِ أيام حتى عادت المجموعة في السابع من مايو برسالة جديدة: تشويه صفحات تسجيل الدخول في عدد من المؤسسات التعليمية المستخدمة لمنصة Canvas، إذ حقنت المجموعة ملف HTML يعرض رسالة ابتزاز تُطالب الشركة بالتفاوض وتُهدد بنشر البيانات المسروقة في الثاني عشر من مايو إن لم تستجب.
توقيت استراتيجي يُضاعف الضغط
ما يجعل هذا الهجوم استثنائياً في أثره هو توقيته، إذ اختار القراصنة فترة نهاية الفصل الدراسي حيث تبلغ الاستعانة بالمنصة ذروتها في الامتحانات والتسليمات النهائية. وقد أفادت بعض الجامعات بتوقف موقع Canvas عن العمل خلال فترات حرجة، بينما أظهر موقع Instructure نفسه رسائل خطأ وإشعارات بصيانة مجدولة.
صمت الشركة وتداعيات الأزمة
لم تُصدر Instructure تعليقاً علنياً كافياً على الأحداث المتسارعة، ولم تستجب لطلبات التعليق من وسائل الإعلام. بينما تدخّلت جامعات عدة بصورة مباشرة لإبلاغ طلابها وتقديم التوجيه اللازم، من بينها جامعة رتغرز وجامعة كاليفورنيا وجامعة بنسلفانيا.
درس أوسع للقطاع التعليمي
تُسلّط هذه الحادثة الضوء مجدداً على هشاشة منظومة إدارة التعليم الإلكتروني التي تُمركز بيانات ملايين الطلاب في أيدي شركات قليلة. بينما تتسارع المؤسسات التعليمية نحو الرقمنة الكاملة، يبقى السؤال قائماً: هل تُستثمر الموارد الكافية في حماية هذه البيانات التي لا تقل حساسيةً عن البيانات المالية أو الصحية؟
المزيد من أمن
طلب بسيط يخترق وكيل الذكاء الاصطناعي لميتا ويكشف ثغرات أمن المساعدين الذكيين
مهاجمون استغلوا وكيل دعم العملاء الذكي في ميتا لتغيير عناوين البريد الإلكتروني لحسابات إنستغرام بطلب مباشر، كاشفين عن ثغرات بنيوية في تصميم عوامل الذكاء الاصطناعي المكلّفة بعمليات حساسة.
تحذير من مجموعة قراصنة ترسل موظفين مزيّفين لاختراق الشركات جسديًا وسرقة بياناتها
مجموعة Silent Ransom Group تصعّد هجماتها بإرسال أفراد متنكّرين كدعم تقني إلى مقار الشركات لسرقة البيانات عبر أقراص USB أو تثبيت وصول عن بُعد، وفق تحذير مشترك من غوغل ومكتب التحقيقات الفيدرالي.
الذكاء الاصطناعي يُغرق المحاكم الأمريكية بدعاوى قضائية ويُثير أزمة قانونية معقدة
ارتفعت نسبة الدعاوى الفيدرالية التي تتضمن محتوى مكتوباً بمساعدة الذكاء الاصطناعي من 1% عام 2023 إلى 18% في 2026، مثيرةً تساؤلات عاجلة حول هلوسة النماذج اللغوية والمسؤولية القانونية.