Canvas tekrar çevrimiçi, ancak sorular ve final sınavındaki aksamalar devam ediyor

Çevrimiçi eğitim platformu Canvas, Perşembe günü meydana gelen bir veri ihlalinin ardından çevrimdışı oldu ve binlerce ABD kolejindeki (ve K-12 okullarındaki) öğrencileri ve öğretim üyelerini geçici olarak final döneminde ders materyallerine ve iletişimlere erişimden mahrum bıraktı.

Pensilvanya Üniversitesi’nde siyaset bilimi alanında kıdemli öğretim görevlisi olan Damon Linker, “Eminim ki, kesinti meydana geldiğinde ülkenin bir yerinde, platform çöktüğünde muhtemelen final sınavlarına giren insanlar vardı” diyor.

Otuz milyon kullanıcı — yüksek öğrenimin yarısı dahil Kuzey Amerika’daki kurumlar — ana şirketi Instructure’a göre kursları yönetmek, ödev göndermek, notları görüntülemek ve iletişimi kolaylaştırmak için Canvas’a güveniyorsunuz.

Ancak Linker ve diğer birçok kullanıcı perşembe öğleden sonra bunu yapmaya çalıştığında siyah bir ekran ve bir uyarı mesajıyla karşılaştılar.

“ShinyHunters, Talimatı (yine) ihlal etti” yazıyordu. “Çözmek için bizimle iletişime geçmek yerine bizi görmezden geldiler ve bazı ‘güvenlik yamaları’ yaptılar.”

ShinyHunters, devasa bir kredi alan kuruluşla aynı. Ticketmaster veri ihlali İnsanları ve şirketleri kendilerini bilgisayar korsanlarına karşı savunma konusunda eğiten SocialProof Security’nin CEO’su Rachel Tobac, bunun gibi pek çok grup gibi, uzaktan birlikte çalışan gençlerden oluşan bir kümenin “bir tür fidye yazılımı çetesi gibi” olduğunu söylüyor.

ShinyHunters şunu yazdı: tehdit istihbaratı web sitesi Bu hafta başında Cumartesi günkü ilk ihlalin, dünya çapında yaklaşık 9.000 okuldaki 275 milyon öğrenci, öğretmen ve personelden gelen verileri (özel mesajlar da dahil) içerdiği ortaya çıktı. Grup Perşembe günü yaptığı açıklamada, etkilenen okulların siber danışmanlık firmalarına danışarak ve şifreli sohbet platformu Tox aracılığıyla anlaşmalar yaparak verilerinin yayınlanmasını önleyebileceklerini söyledi.

Bilgisayar korsanları, “Her şey sızdırılmadan önce 12 Mayıs 2026’ya kadar günün sonuna kadar vaktiniz var” diye yazdı.

Instructure bu hafta bir dizi siber güvenlik ihlalini doğruladı ve durum güncellemeleri sağladı kendi web sitesinde. İhlalin yalnızca isimler, e-posta adresleri, öğrenci kimlik numaraları ve kullanıcı mesajları gibi tanımlayıcı bilgileri içerdiği anlaşıldı; şifreler, doğum tarihleri, resmi kimlik bilgileri veya finansal bilgiler içermiyor.

Talimat onaylandı SSS sayfası Canvas’ta ilk kez 29 Nisan’da izinsiz aktivite tespit ettikten sonra bir soruşturma başlattığını ve aynı yetkisiz aktörün “bazı öğrenciler ve öğretmenler oturum açtığında ortaya çıkan değişiklikler yapmasının” ardından Perşembe günü Canvas’ı çevrimdışına aldığını söyledi. Aktörün, geçici olarak kapattığı Öğretmen İçin Ücretsiz hesaplarındaki bir sorundan yararlandığını söylediler.

NPR’ye yaptığı açıklamada, “Bu bize, artık tamamen çevrimiçi ve kullanıma hazır olan Canvas’a erişimi yeniden sağlama konusunda güven veriyor.” dedi. “Bunun yol açmış olabileceği rahatsızlık ve endişeden dolayı üzgünüz.”

Instructure’ın fidye ödeyip ödemediği ya da Canvas erişiminin geri verilmesinin hackerlar için son tarih olan 12 Mayıs açısından ne anlama gelebileceği belli değil.

Tobac, başarılı bir müzakere sonucunda veya bilgisayar korsanlarının “saldırılarında çok ileri gidememeleri” nedeniyle Canvas’ın tekrar çevrimiçi olabileceğini söylüyor. Her iki durumda da, kullanıcıların özellikle kimlik avı iletilerine karşı dikkatli olmaları gerektiğini söylüyor; ister Canvas gibi davranarak parola değişikliği isteyen biri olsun, ister ders materyalleri gönderen bir profesör gibi davranan biri olsun.

“Burada bazı zincirleme etkilerin olacağı varsayımıyla hareket ederim” diyor.

Herkes hemen çevrimiçi olmadı

Perşembe gece yarısından hemen önce Instructure, çevrimiçi olarak “Canvas’ın artık çoğu kullanıcı için mevcut olduğunu” bildirdi, ancak iki ayrı hizmet olan Canvas Beta ve Canvas Test bakım modunda kaldı.

En azından bazı okullardaki öğrenciler ve öğretim üyeleri Cuma günü hala Canvas’a erişemediler; henüz restore edilmedi veya yöneticilerin onları uzak durmaları konusunda uyarması nedeniyle.

Örneğin Penn Eyalet Üniversitesi, Cuma sabahı dedi okulun Canvas erişimi kısmen yeniden sağlanmış olsa da “henüz kullanıma hazır değildi.”

“Penn State’teki teknik ekipler sistemi topluluğumuza hazırlamak için aktif olarak çalışıyor” diye ekledi. “Erişim yeniden sağlandığında Canvas entegrasyonları ve ilgili hizmetler aşamalı olarak tekrar çevrimiçi duruma getirilecek.”

Birçok okul da benzer yaklaşımları benimsemiştir. geçici olarak devre dışı bırakma Kanvas erişimi veya doğrudan kullanıcılara soruyorum uzak durmak için. Kaliforniya Üniversitesi okullarında şunları söyledi: “Sistemin güvenli olduğundan emin olana kadar tuval erişimi yeniden sağlanmayacaktır.”

Ve bu sadece yüksek öğrenim değil: Maryland’deki Montgomery County Devlet Okulu sistemi Cuma sabahı aileleri, hizmet geri gelse bile “erişimi yeniden sağlamadan önce sistemleri test etmeye ve gözden geçirmeye devam edeceği” konusunda uyardı.

Tobac, bunun, okulların saldırganların hâlâ sistemlerinde bulunabileceğini ve potansiyel olarak şifreler ve mesajlar gibi bilgileri çalabileceğini düşündükleri anlamına gelebileceğini söylüyor.

“Saldırganlar muhtemelen bazı hassas bilgileri ele geçirdiler ve… [schools] Bu bilginin internette yayınlanmasını istemiyorum” diyor.

Birçok okul, Canvas’tan geliyormuş gibi görünen istenmeyen e-posta veya mesajlara, özellikle de oturum açma kimlik bilgilerini talep edenlere karşı kullanıcıları yüksek düzeyde tetikte olmaya çağırıyor. Georgetown Üniversitesi uyardı. Amsterdam Üniversitesi Etkilenen 44 Hollanda eğitim kurumundan biri olduğunu söyleyen yetkililer, aynı zamanda insanların aynı şifreyi kullandıkları diğer sitelerdeki şifrelerini de değiştirmelerini tavsiye ediyor.

Tobac ayrıca, her oturum açma işleminde uzun, rastgele parolalar oluşturmak için bir parola yöneticisi kullanılmasını ve yalnızca Canvas için değil, tüm çevrimiçi hesaplar için çok faktörlü kimlik doğrulamanın açılmasını öneriyor. Şüpheli bir çağrı, mesaj veya e-posta alan herhangi bir öğrenci veya profesörün “neyin gerçek olduğunu doğrulamak için başka bir iletişim yöntemi kullanması” gerektiğini söylüyor.

“Dün herhangi bir ihlal olmasa bile, yapmanızı önerdiğim şeylerin bunlar olduğunu söyleyebilirim” diye ekliyor ve insanları “kibarca paranoyak olmaya” çağırıyor.

İhlal finalleri sekteye uğratıyor, zayıf noktaları öne çıkarıyor

İhlalden etkilenen bazı okullar bazı final sınavlarını erteledi veya tamamen iptal etti; diğerleri ise öğrencileri ve profesörleri buna ihtiyaç duyabilecekleri konusunda uyardı.

Illinois Üniversitesi tüm final sınavlarının ertelenmesi ve Pazar gününe kadar planlanan ödevler. Penn State iptal edildi belirli sınavlar Perşembe gecesi ve Cuma için planlandı, “son notlar için sonraki adımları belirlemek” üzere fakülteyle birlikte çalışıldığını söyledi ve bu arada öğrencileri e-postalarını (Canvas’ı değil) düzenli olarak kontrol etmeye çağırdı. Ve Baylor Üniversitesi Cuma gecikmeli Sınavların yapılmasını ve tüm fakültelerden öğrencilere “yerel bilgisayarlarında bulunan çalışma materyallerini mümkün olan en kısa sürede öğrencilere göndermelerini” istedi.

Bu ihlal, akademinin ne kadarının tek, merkezi bir platforma dayandığının altını çizdi.

UPenn’den Linker, NPR’ye Perşembe günü öğleden sonra Pazartesi günkü finale çalışmaya çalışırken birdenbire PowerPoint sunumlarına, okumalara ve önceki sınavlara erişemeyen öğrencilerden panik dolu mesajlar aldığını söyledi.

“Canvas gibi bir platformu kullanmanın sorunu, çoğu [students] Okumaların çıktısı alınmayacak veya dizüstü bilgisayarlarda bulunmayacak” diye açıklıyor. “Her şey çevrimiçi platformda yaşıyor ve bu platform çökerse bunlara erişmelerinin hiçbir yolu olmayacak.”

Perşembe günü öğrencilere, eğer Canvas erişimi Cuma sabahına kadar yeniden sağlanmazsa ders materyallerini başka bir platforma (Dropbox veya Google Docs gibi) yükleyeceğini söyledi. Neyse ki, saat 09.00 ET’den kısa bir süre önce tekrar çevrimiçi hale geldiğini söylüyor.

Ancak Linker gelecekte Canvas’a tamamen güvenme konusunda endişeleri olduğunu söylüyor.

“Bunun açığa çıkardığı şey, içerdiği güvenlik açığı ve ayrıca veri ihlalleriyle ilgili endişeler göz önüne alındığında, bunun gerçekten ilerlemenin akıllıca bir yolu olup olmadığını yeniden düşünmeye başlıyorum” diyor.

Bunun bir örneği derecelendirmedir. Linker, Canvas’ın bireysel ve genel olarak öğrencilerin puanlarını hesaplamayı ve tartmayı o kadar kolaylaştırdığını ve artık dijital bir not defteri işlevi gördüğünü söylüyor. İleride her ihtimale karşı öğrencilerin notlarının analog kaydını tutmaya başlayabileceğini söylüyor.

Canvas’ın Blackboard gibi rakipleri olsa da Linker, herhangi birinin gelecekteki bir ihlale karşı daha az savunmasız olacağını düşünmediğini söylüyor. Tobac da aynı fikirde.

“Sorun, bu web sitesinin bu siber olayı yaşaması değil, değil mi? Çünkü bu dünyada hiçbir şey hacklenemez değil” diyor. “Düşünmemiz gereken şey felaketten kurtarma: Siber bir olay olduğunda iş yapmaya nasıl devam ederiz ve kötü aktörleri dışarıda tutmak için elimizden gelenin en iyisini nasıl yaparız?”

Tobac, bu haftanın birçok kurumun öğrencilerin ve profesörlerin Canvas olmadan nasıl iletişim kurabilecekleri ve ders materyallerine nasıl erişebilecekleri konusunda net bir plana sahip olmadığını gösterdiğini söylüyor. Bu planların okulların farklı koşullarına ve programlarına göre değişmesi gerektiğini söyledi; bu da neden bazılarının finallere her zamanki gibi devam ederken bazılarının sınavları tamamen iptal ettiğini açıklayabilir. Ancak onların hemen sonrasına ortak bir hedefle yaklaşmalarını istiyor.

Tobac, “İnsanlara onurlu ve saygılı davranmalıyız” diyor. “Ve bunun kurumların kendi zaman çizelgeleri ve kısıtlamaları dahilinde yaptığı bir şey olduğunu umuyorum.”