Instructure върна Canvas онлайн след кибератака, която на 7 май 2026 г. наруши работата на ключова образователна платформа в период на изпити и крайни срокове в училища и университети.

Компанията съобщи, че е открила неоторизирана активност на 29 април 2026 г. На 7 май е засечена нова активност, свързана със същия инцидент. Нападателят е променил страници, които студенти и преподаватели са виждали при вход в Canvas.

Canvas е cloud learning management system. Чрез нея учебни заведения управляват курсове, домашни, оценки, тестове, файлове и съобщения между преподаватели и учащи.

Случаят показва пряк риск за образованието: една външна платформа може да блокира изпити, срокове и достъп до учебни материали в много институции едновременно.

Какво е потвърдено

Instructure посочи, че нападателят е използвал проблем, свързан с Free-For-Teacher accounts. Компанията временно спря тези акаунти.

При инцидента от 29 април са взети лични данни на потребители в засегнати организации, съобщи Instructure.

  • имена;
  • имейл адреси;
  • студентски идентификационни номера;
  • съобщения между потребители в Canvas.

Компанията заяви, че няма доказателства за компрометирани пароли, дати на раждане, държавни идентификатори или финансова информация. Разследването продължава.

Instructure съобщи, че е уведомила правоохранителни органи. Сред тях са Федералното бюро за разследване на САЩ, U.S. Cybersecurity and Infrastructure Security Agency и международни партньори.

Удар по време на изпити

Атаката засегна учебни заведения в САЩ в период на изпитна сесия. Associated Press съобщи, че University of Illinois е отложил всички изпити, насрочени за 8, 9 и 10 май 2026 г., независимо дали курсовете са използвали Canvas.

Montgomery County Public Schools в Maryland продължи да ограничава достъпа до Canvas на 8 май. Причината беше допълнителна проверка на риска за информация, свързана с платформата.

В California студенти и преподаватели в кампуси, включително системите University of California и California State University, загубиха достъп до курсове, задания и материали. Los Angeles Times съобщи, че част от кампусите са оставили ограниченията и след като Canvas е станал достъпен за повечето потребители.

Кой пое отговорност

Групата ShinyHunters пое отговорност за пробива, според Associated Press и експерта от Emsisoft Люк Конъли. По данни, цитирани от Associated Press, групата твърди, че са засегнати близо 9000 училища по света и че са достъпени милиарди лични съобщения и други записи.

Тези числа са твърдения на нападателите. Instructure не е потвърдила публично мащаб в този обем.

TechCrunch съобщи, че е видял съобщение на ShinyHunters върху страници за вход на три училища. Според изданието съобщението е съдържало заплаха за публикуване на откраднати данни на 12 май 2026 г., ако не бъде договорено плащане.

Как реагира Instructure

Instructure временно постави Canvas в maintenance mode на 7 май. На статус страницата си компанията посочи, че Canvas е достъпен за повечето потребители на 7 май.

На страницата с актуализации Instructure заяви, че Canvas е напълно онлайн и достъпен. Компанията посочи, че външен forensic партньор не е открил доказателства, че нападателят има текущ достъп до платформата.

Сред мерките, обявени от Instructure, са:

  • отнемане на привилегировани credentials и access tokens;
  • смяна на вътрешни ключове;
  • ограничаване на пътища за създаване на tokens;
  • засилено наблюдение на платформите.

Защо това засяга България

Към 9 май 2026 г. няма публично потвърждение от Instructure за конкретно засегната българска институция. Случаят обаче е важен за България.

Българските училища и университети също разчитат на дигитални платформи. Висшите училища използват системи като Moodle, Microsoft Teams, Google Classroom и други решения за електронно обучение. В училищното образование се използват електронни дневници, виртуални класни стаи и платформи за домашни, оценки и присъствия.

Рискът не е ограничен само до Canvas. Той е в модела. Когато външна система държи учебни материали, съобщения, оценки и достъп до изпити, сривът вече не е само технически проблем.

Какъв е рискът за ученици и студенти

Дори без пароли и финансова информация, изтеклите имена, имейли, студентски идентификационни номера и вътрешни съобщения имат стойност. Те могат да се използват за фишинг, измами и имитация на университетски или училищни съобщения.

Най-вероятният сценарий е съобщение, което изглежда като изпратено от администрация, преподавател или help desk. То може да поиска смяна на парола, потвърждение на профил или отваряне на файл.

Този риск е чувствителен за училища. Учениците и родителите често приемат съобщения от учебна платформа като надеждни, особено в периоди на оценки, изпити и кандидатстване.

Какво следва

Instructure заяви, че ще уведомява директно засегнатите организации. Компанията предупреди потребителите да не разчитат на непроверени списъци в социални мрежи.

За българските институции въпросът е оперативен. Училища и университети трябва да имат план при спиране на основна платформа в ден за изпит, срок за проект или край на семестър.

Минималният план включва:

  • резервен канал за съобщения;
  • ясни правила за удължаване на срокове;
  • независим достъп до критични учебни материали;
  • бърза проверка на доставчика при инцидент.
Дигиталното образование работи надеждно само ако сигурността, резервният план и отговорността на доставчика са част от учебния процес.