Canvas डाउन हुआ, ShinyHunters ने स्कूल डेटा लीक करने की धमकी दी

 (theverge.com)
1 पॉइंट द्वारा GN⁺ 2 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Instructure के learning management platform Canvas ने बड़े पैमाने पर data breach की पुष्टि के बाद काम करना बंद कर दिया, और Canvas, Canvas Beta, Canvas Test को maintenance mode में डाल दिया गया
  • breach से प्रभावित डेटा में छात्रों के नाम, email addresses, ID numbers, और messages शामिल हैं
  • Canvas एक्सेस करने वाले छात्रों को एक संदेश दिखा, जिसमें hacking group ShinyHunters ने हमले की जिम्मेदारी लेने और स्कूल डेटा सार्वजनिक करने की धमकी दी
  • ShinyHunters ने धमकी दी कि अगर 12 मई 2026 के अंत तक कोई बातचीत नहीं हुई, तो वह सारा डेटा लीक कर देगा, और प्रभावित स्कूलों से TOX पर निजी तौर पर संपर्क कर समझौता करने को कहा
  • Instructure ने पिछले हफ्ते breach के बाद सिस्टम सुरक्षा मजबूत करने के लिए patch जारी किए, जबकि ShinyHunters का दावा है कि उसके data leak site पर 9,000 स्कूलों और 27.5 करोड़ छात्रों, शिक्षकों और कर्मचारियों का डेटा है

आउटेज की स्थिति

  • Instructure के status page पर सूचना दी गई कि “Canvas, Canvas Beta, Canvas Test को maintenance mode में डाल दिया गया है”
  • Instructure ने कहा कि उसे उम्मीद है कि सेवा जल्द बहाल हो जाएगी और वह यथाशीघ्र अपडेट देगा

ShinyHunters की धमकी

  • ShinyHunters का दावा है कि उसने Instructure में फिर से सेंध लगाई, और यह भी कहा कि Instructure ने उनसे संपर्क किए बिना “security patch” लगाया
  • संदेश में उस स्कूल सूची का लिंक शामिल था, जिनके बारे में ShinyHunters का दावा है कि वे Canvas के जरिए breach हुए
  • उसने मांग की कि प्रभावित स्कूलों की सूची में शामिल संस्थान, अगर डेटा सार्वजनिक होने से रोकना चाहते हैं, तो cyber advisory company से सलाह लेने के बाद TOX पर निजी संपर्क कर समझौते पर बातचीत करें

नुकसान का दायरा और पुराने दावे

  • ShinyHunters पहले भी Ticketmaster, AT&T, Rockstar Games, ADT, Vercel पर हमलों की जिम्मेदारी लेने का दावा कर चुका है
  • Bleeping Computer के अनुसार, ShinyHunters का दावा है कि उसकी data leak site पर 9,000 स्कूलों का डेटा है, जिसमें 27.5 करोड़ छात्रों, शिक्षकों और अन्य कर्मचारियों की जानकारी शामिल है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2 시간 전
Hacker News की राय

  • ज़मीनी नज़रिए से देखें तो मैं Canvas इस्तेमाल करने वाले एक विश्वविद्यालय में पढ़ाता हूँ, और अभी फ़ाइनल परीक्षा का समय है
    आज दोपहर 5:17 EDT पर अकादमिक प्रशासन की ओर से पहली outage alert ईमेल मिली, और 6:24 व 6:57 पर अतिरिक्त मेल आए, लेकिन उनमें असल में क्या हुआ इस पर कम और मुआवज़ा/वैकल्पिक प्रक्रियाओं पर ज़्यादा बात थी
    “राष्ट्रीय स्तर की रुकावट”, “cybersecurity attack” के अलावा कोई विवरण नहीं था, और लगता है विश्वविद्यालय को भी इससे ज़्यादा नहीं पता
    चिंताजनक बात यह है कि Canvas पर जमा किए गए असाइनमेंट अब छात्रों से सीधे प्रोफ़ेसरों को ईमेल करने को कहा गया है, जिससे यह भरोसा नहीं दिखता कि सेवा जल्दी बहाल होगी
    व्यक्तिगत रूप से मुझ पर असर कम है। मैं CS प्रोफ़ेसर हूँ, इसलिए छात्रों का काफ़ी काम विभागीय मशीनों पर होता है और जमा भी वहीं होता है, और असली परीक्षा कागज़ पर होती है
    इससे भी अहम बात यह है कि मैंने कभी Canvas gradebook पर भरोसा नहीं किया, इसलिए Canvas पर grade सिर्फ़ छात्र पुष्टि के लिए डालता हूँ, और मूल gradebook हमेशा लोकल spreadsheet में रखता हूँ
    लेकिन मेरे कई सहकर्मियों के लिए यह “इमारत जल गई और सारे exam papers व gradebook गायब हो गए” जैसी आपदा है। आमने-सामने पढ़ाने वाले प्रोफ़ेसरों ने भी ज़्यादातर मूल्यांकन Canvas के “quiz” फ़ीचर पर शिफ्ट कर दिए थे, फ़ाइनल परीक्षा भी Canvas पर ले रहे थे, और Canvas gradebook को मूल रिकॉर्ड मान रहे थे
    प्रशासन ने भी “grade submission आसान हो जाएगा” कहकर ऐसा करने को बढ़ावा दिया था। ऐसे प्रोफ़ेसरों के पास छात्रों का काम बहुत कम या बिलकुल नहीं हो सकता, और छात्र भी शुरू से Canvas के भीतर ही लिखते रहे होंगे, इसलिए ईमेल से दोबारा भेजने लायक सामग्री ही नहीं होगी; grade या attendance records भी शायद सिर्फ़ Canvas में ही रहे हों
    अगर मार्च में midterm advisory grades जमा किए गए थे, तो शायद उतना रिकॉर्ड उपलब्ध हो, लेकिन संभव है कि बस वही सब कुछ हो
    मेरा अंदाज़ा है कि या तो यह कुछ घंटों में ठीक हो जाएगा, या फिर कई हफ़्ते लगेंगे। अगर air-gapped backup है और सिर्फ़ नए server खड़े करने हैं तो पहली स्थिति, वरना दूसरी। बीच का रास्ता कम दिखता है
    अगर कल सुबह तक यह ठीक नहीं हुआ, तो मुझे सच में समझ नहीं आता कि हमारा विश्वविद्यालय और देशभर के कई प्रोफ़ेसर निष्पक्ष और तर्कसंगत grade कैसे जमा करेंगे
    चरम स्थिति में शायद वही करना पड़े जो pandemic semester में किया था, और उस semester में भी जब हमारे विश्वविद्यालय में फ़ाइनल से एक हफ़्ता पहले दो बड़े academic buildings जल गए थे—यानी मूल रूप से letter grade देने वाली classes को भी pass/fail के रूप में जमा करना पड़े। और किया भी क्या जा सकता है
    बेशक, एक ही टोकरी में सारे अंडे न रखना और “cloud” पर इतना ज़्यादा भरोसा न करना बेहतर होता, लेकिन अब बहुत देर हो चुकी है। लंबी अवधि में कोई इससे सबक सीखेगा या नहीं, यह देखना दिलचस्प होगा
    अपडेट: 11:45pm EDT तक हमारे विश्वविद्यालय का Canvas instance फिर से चल रहा है। उम्मीद है चलता रहेगा, लेकिन एहतियातन मैं कुछ चीज़ें डाउनलोड कर लेने वाला हूँ

    • जब कोई छात्र quiz वगैरह पूरा करता है, तो संबंधित रिकॉर्ड ईमेल के ज़रिए छात्र को भेजना बहुत आसान है
      लेकिन वे ऐसा नहीं करते क्योंकि वे डेटा पर नियंत्रण रखना चाहते हैं, और मुझे समझ नहीं आता कि विश्वविद्यालय इसे अनिवार्य क्यों नहीं करते
    • मैं education IT में काम करता हूँ, और हमें भी लगभग कुछ ज़्यादा पता नहीं है
      आज जो कुछ पता है, वह Reddit thread और Hacker News thread से ही पता चला है। आधिकारिक communication में attack का ज़िक्र नहीं था, लेकिन login page को ShinyHunters ने deface कर दिया था
    • एक hybrid approach भी संभव लगती है। जल्दी से कोई फ़ाइनल परीक्षा या project बनाकर छात्रों को pass/fail या वास्तविक grade में से चुनने का विकल्प दिया जा सकता है
      और मैं उस दिन की दुआ करूँगा जब SaaS गायब हो जाए, और हम ज़रूरत के मुताबिक नियंत्रित व संशोधित किए जा सकने वाले software खुद deploy कर सकें
    • क्या एक ही परीक्षा लेकर उसी के आधार पर course grade तय नहीं किया जा सकता
      वैसे भी आदर्श रूप से यही होना चाहिए; semester भर के assignment marks या उससे भी ख़राब attendance marks, यह जानने के लिए ज़रूरी नहीं कि छात्र ने सामग्री सीखी या नहीं। परीक्षा लो और काम ख़त्म करो

  • हैरानी है कि इस thread में इतने कम comment हैं। शायद लाखों छात्र साल के सबसे तनावपूर्ण समय में प्रभावित हो रहे होंगे
    मुझे पहले से Canvas और शायद बाकी सभी learning management system कंपनियाँ पसंद नहीं थीं, लेकिन इस outage की विडंबना यह है कि यह ठीक उसी समय हुआ जब ADA compliance नियमों के कारण विश्वविद्यालय हर प्रोफ़ेसर से बिना किसी अपवाद के सारी सामग्री Canvas पर डालने की माँग कर रहे हैं
    उदाहरण के लिए, अपने व्यक्तिगत website पर डाले गए PDF को refer करने को कहना भी स्पष्ट रूप से मना है
    यहाँ के बाकी लोगों को शायद अंदाज़ा नहीं कि बहुत से faculty members भी Canvas के इस्तेमाल को मजबूरी के रूप में ही देखते हैं

    • अभी तक वे मुझे मजबूर करने में सफल नहीं हुए हैं। लेकिन computing के प्रोफ़ेसरों में भी इतने लोग बुनियादी online infrastructure नहीं चला पाते, यह काफ़ी निराशाजनक है। हालाँकि विश्वविद्यालय भी इसे आसान नहीं बनाते
      Canvas को लेकर मेरी एक और गंभीर चिंता यह है कि प्रोफ़ेसरों द्वारा अपलोड की गई सारी सामग्री का इस्तेमाल शायद AI substitute training के लिए किया जा रहा हो। सहकर्मी इस पर काफ़ी dark humor करते हैं, लेकिन असली कार्रवाई कम दिखती है
    • आजकल के छात्र और HN उपयोगकर्ताओं में शायद ज़्यादा overlap नहीं है। जहाँ तक मुझे पता है, मैं ख़ुद एक काफ़ी दुर्लभ अपवाद हूँ :)
      प्रशासन की ओर से अभी तक “Canvas कहता है” से शुरू होने वाला एक मेल आया, और एक घंटे बाद “Canvas अनिश्चितकाल के लिए बंद है” वाला मेल आया, जिससे पता चला कि वे स्थिति की गंभीरता समझते हैं
      जो लोग Canvas को नहीं जानते, उनके लिए कहूँ तो यह quiz जैसी सुविधाओं के साथ एक classroom wiki जैसा है
    • Canvas के ज़रिए कक्षाओं की live streaming बहुत लोकप्रिय है। काफ़ी छात्र बस hostel में रहकर देखते हैं
      इसलिए अब छात्रों को फिर से classroom में आना पड़ सकता है, और यह काफ़ी देखने लायक होगा। पहले दिन lecture hall लगभग खचाखच भरा रहता है, कभी-कभी खड़े होने तक की जगह नहीं होती, फिर धीरे-धीरे भीड़ कम हो जाती है। 100 छात्रों की class में कभी सिर्फ़ 10 छात्र भी आते हैं
      अगर Canvas जल्दी बहाल नहीं हुआ, तो इस वजह से भी असली अव्यवस्था बढ़ सकती है
    • मुझे समझ नहीं आता कि Canvas, HTML और PDF से किस तरह ज़्यादा accessible है
      यह सही है कि PDF reader screen reader के लिए सर्वोत्तम नहीं होते, लेकिन साथ में .html कॉपी भी अपलोड की जा सकती है, नहीं?

  • किसी भी कंपनी के लिए ransomware की फिरौती देना गैरकानूनी होना चाहिए। बिना किसी अपवाद के, कभी भुगतान नहीं होना चाहिए
    हमलावरों की सज़ा उस system से जुड़ी होनी चाहिए जिसे उन्होंने compromise किया। अगर किसी hospital पर हमले से किसी की मौत हुई, तो आजीवन कारावास या मृत्युदंड तक होना चाहिए। न्यूनतम सज़ा इतनी कड़ी होनी चाहिए कि हमला करने से रोक सके
    बेशक, केवल इससे समस्या नहीं रुकेगी, और कंपनियों को भी सुरक्षा में कम निवेश के लिए जवाबदेह ठहराना चाहिए। हर हमले के बाद यह जाँच होनी चाहिए कि संबंधित कंपनी agreed industry-standard best practices, staffing standards वगैरह पर खरी उतरी या नहीं; अगर नहीं, तो दंडात्मक सज़ा होनी चाहिए

    • जो चीज़ गैरकानूनी होनी चाहिए, वह है असुरक्षित सेवा चलाना। खासकर अगर आप personal information संभाल रहे हों तो और भी
      breaches लगातार होते रहते हैं, और किसी को परवाह नहीं होती। सबसे बुरा क्या होता है—कुछ ग्राहक खो देते हैं और “credit monitoring” खरीदकर दे देते हैं
      ऐसे मामलों के बाद audit होना चाहिए और prosecution भी। लापरवाह security failures के लिए कंपनी के executives को जेल भेजना चाहिए। अगर accounting fraud के लिए जेल हो सकती है, तो cybersecurity promises fraud के लिए भी होनी चाहिए
      ये लोग कई security standards के अनुपालन का दावा करते हैं https://www.instructure.com/en-au/trust-center/compliance
      मैं post-mortem audit में देखना चाहूँगा कि वास्तव में कितना लागू किया गया था
    • मुझे लगता है कि ध्यान इस पर होना चाहिए कि विदेशी अपराधियों को पैसा भेजना शुरू से ही मुश्किल बनाया जाए। /हूँ/ बुरे actors को पैसे ट्रांसफ़र करने में सक्षम बनाने वाले cryptocurrency platforms /हूँ/
    • देश कब से cyberattack को युद्ध की कार्रवाई की तरह लेना शुरू करेंगे
      अगर उत्तर कोरियाई सैनिक अमेरिका आकर Fort Knox से 200 मिलियन डॉलर का सोना लूट ले जाएँ, तो जवाबी कार्रवाई होगी। लेकिन उतनी ही रकम अमेरिकी कंपनियों को hack करके ले जाई जाए, तो संघीय सरकार कुछ नहीं करती
    • “कष्टदायक न्यूनतम सज़ा” से विदेशी नागरिकों या विदेशी सरकारों के पक्के तौर पर रुक जाने की संभावना कम लगती है
    • अगर कोई बैंक लूटते समय अंदर मौजूद किसी व्यक्ति की heart attack से मौत हो जाए, तो वह felony murder होता है
      ransomware attack, extortion और data leak पर भी वही सिद्धांत लागू होना चाहिए। अगर उसके कारण कोई आत्महत्या कर ले, तो वह हत्या मानी जानी चाहिए

  • मेरे बच्चे फ़ाइनल परीक्षा सप्ताह के बीच में हैं। पूरा हाल बेहाल है
    विश्वविद्यालयों को कुछ पता नहीं, Canvas कह रहा है कि वह “scheduled maintenance” में है, और किसी प्रोफ़ेसर ने कहा कि “ऑफ़लाइन सामग्री की कोई कॉपी नहीं है”, जो काफ़ी लापरवाही लगती है
    एक लोकप्रिय course के एक section में शायद paper exam होगा, जबकि दूसरे sections शायद आज पहले ही Canvas-based परीक्षा दे चुके हैं, जिसमें “दूसरी कोशिश पर आधे अंक” जैसा नियम था
    नाम और grades data dump में आने में कितना समय लगेगा
    यह वैसा है जैसे अमेरिका में TurboTax 14 अप्रैल को “scheduled maintenance” रख दे

    • “Scheduled Maintenance” पूरी तरह बकवास है, और ईमानदारी से कहूँ तो इससे Canvas और भी बुरा दिखता है
      status page के हिसाब से तो यह 99.996% uptime कहलाएगा। ध्यान से देखिए

  • MIT में पढ़ाने वाले एक दोस्त ने बताया कि वह इस स्थिति से गुज़रा
    यह विडंबनापूर्ण और थोड़ा दुखद लगा कि MIT जैसी जगह पर भी ऐसे उपयोग के लिए on-premises solution बनाए रखने वाला IT staff नहीं है
    लेकिन बाद में पता चला कि MIT के पास खुद का बना हुआ system था और हाल में उसने Canvas पर switch किया था। अब शायद वे पछता रहे होंगे
    पिछले 10 सालों में build vs buy का फ़ैसला buy की तरफ़ बहुत ज़्यादा झुक गया है, और यह अफ़सोस की बात है
    बेशक, संस्थाओं को अपनी core competency पर ध्यान देना चाहिए, और कभी-कभी non-core काम को बाहरी vendor को देना सही भी होता है। लेकिन हमेशा trade-off रहता है

    • in-house system का maintenance महँगा होता है, और आम तौर पर वह इस समय के commercial options के बराबर नहीं पहुँचता
      learning management system बस बहुत जटिल software होता है। undergraduate के समय मैं अपने विश्वविद्यालय के in-house version से जुड़ा था
    • मैंने education sector में अपनी tech career शुरू की थी, इसलिए यह बिल्कुल चौंकाने वाला नहीं है
      महत्वाकांक्षी और सक्षम IT staff शिक्षा क्षेत्र में ज़्यादा देर नहीं टिकते। industry की तुलना में वेतन बहुत कम होता है
      जहाँ मैं काम करता था, वहाँ कुछ साल सेवा के बाद आरामदायक pension मिल सकती थी, इसलिए IT staff ज़्यादा से ज़्यादा outsourcing चाहते थे ताकि retirement funding से जुड़ा कोई जोखिम न रहे। फिर हर समस्या का दोष consultants पर डाल दो और ख़ुद जितना कम हो सके उतना काम करो
      सचमुच यह सपनों के मरने की जगह है
      MIT अपने शानदार professors और students के लिए मशहूर है, लेकिन आखिरकार विश्वविद्यालय चलाना काफ़ी standard काम है। lecture platform server संभालने के लिए किसी genius rockstar की ज़रूरत नहीं होती

  • मैं Stanford का छात्र हूँ, और यह outage पूरे campus पर बड़ा असर डाल रहा है
    Brown, Harvard, MIT जैसी East Coast universities के विपरीत, हम quarter system पर हैं, इसलिए हम अभी-अभी midterms से निकले हैं
    अच्छी बात यह है कि CS department Canvas से पूरी तरह स्वतंत्र है, लेकिन मेरी ज़्यादातर humanities classes ऐसी नहीं हैं
    एक art history class ने midterm assignment को Google Drive folder में upload करने को कहा है, और दूसरी class ने weekly quiz रोक दिया है
    इस घटना से साफ़ दिखता है कि छात्र और शिक्षक Canvas पर कितने निर्भर हो चुके हैं। छात्र के नज़रिए से भी, पहले से बहुत अच्छा न रहे इस platform से बाहर निकलने पर चर्चा फिर शुरू होनी चाहिए

    • ShinyHunters का छात्रों और अमेरिका की युवा बौद्धिक पीढ़ी को निशाना बनाने तक गिर जाना सच में हद पार करना है
      companies को target करना और छात्रों को परेशान करना अलग बात है। छात्रों को छोड़ देना चाहिए

  • Canvas की प्रतिक्रिया बेहद ख़राब है। न communication, न status update
    ऐसा लगता है मानो पूरा platform compromise हो गया हो, और पहले ही हो चुकी security breach पर एक भी ठोस रिपोर्ट न होना बहुत बुरा संकेत है
    अमेरिका के ज़्यादातर स्कूल अभी फ़ाइनल परीक्षा ले रहे हैं, इसलिए service-level agreement उल्लंघन और मुक़दमे कितनी जल्दी सामने आते हैं, यह देखना दिलचस्प होगा

    • मैंने Canvas/Instructure के साथ काफ़ी काम किया है। technology ठीक-ठाक है
      लेकिन culture ऐसा लगता है जैसे market position के कारण वे ख़ुद को बहुत बड़ा समझते हों

  • पहले बहुत से विश्वविद्यालय अपने खुद के बनाए या on-premises student systems चलाते थे
    यही cloud centralization की कमी है। अगर infrastructure compromise हो जाए, तो असर किसी एक-दो installation पर नहीं बल्कि सब पर पड़ता है
    सोचता हूँ अब वे उस फ़ैसले के बारे में कैसा महसूस कर रहे होंगे। फिर भी शायद “यह हमारी गलती नहीं” कह पाने से कुछ सुकून मिलता होगा, जो अपने सिस्टम में vulnerability होने पर नहीं मिलता

    • software में vulnerability मिलते ही attackers automated तरीक़े से सैकड़ों अलग-अलग संस्थागत installations पर भी उतनी ही आसानी से हमला कर सकते हैं
      vulnerability के प्रकार के अनुसार, यह on-premises admin द्वारा सुझाए गए security measures पूरी तरह लागू न करने पर और भी आसान हो सकता है
      दरअसल मुझे ज़्यादा जिज्ञासा इस बात की है कि क्या यहाँ Instructure की financial liability बनती है। तकनीकी विफलता Instructure की तरफ़ दिखती है, लेकिन ransom demand विश्वविद्यालयों को मिल रही है—यह दिलचस्प है
      uptime SLA से तो मैं परिचित हूँ, लेकिन security breach SLA कैसा होगा
    • अगर विश्वविद्यालय ने समय और पैसा लगाकर अपना खुद का system बनाया होता और वह hack हो जाता, तो ज़िम्मेदारी विश्वविद्यालय की होती
      अब वे blackjack dealer की तरह हाथ थपथपाकर हथेलियाँ दिखा सकते हैं और बिना ज़िम्मेदारी लिए table छोड़ सकते हैं। शायद खुद न बनाकर product इस्तेमाल करने के सबसे बड़े फ़ायदों में से एक यही है
    • फिर भी यह तरीका ज़्यादा सुरक्षित है। खासकर AI-based hacking के कारण अस्पष्टता पर निर्भर रहना अब मुश्किल होता जा रहा है
      किसी और पक्ष को दोष दे पाना, और सबके साथ मिलकर down होना भी अपने आप में एक value है

  • जब मैं high school में था, शायद 2016 या 2017 में, मैंने assignment submission form में एक बहुत साधारण XSS पाया और अपने programming teacher को बताया
    उसके बाद Canvas ने मेरा account lock कर दिया, और मुझे शायद मेरी ज़िंदगी की पहली और इकलौती after-school detention मिली। अच्छे दिन थे

    • इसी तरह, school blocking software YouTube और embeds को रोकता था, लेकिन अगर वह Canvas से आता हो तो अनुमति देता था
      discussion comments लिखने वाले HTML editor को disable करना समझदारी थी, लेकिन वे भूल गए कि यह rich text editor था, इसलिए data:text/html में code डालकर और element को formatted HTML के रूप में copy करके embed ज्यों का त्यों paste किया जा सकता था
      मैंने DOMPurify sample XSS suite भी चला दी थी, और किसी के computer पर custom content download करवाने का एक तरीका खोज लिया था
    • क्या आपने उस vulnerability का वास्तव में exploit करके teacher को बताया था

  • अगर किसी को अंदर की जानकारी हो, तो जानना चाहूँगा कि क्या Parchment भी संभावित रूप से प्रभावित हुआ है
    कुछ साल पहले Instructure ने उसे acquire किया था, और वह बहुत बड़ी संख्या में transcripts संभालता है
    संपादन: https://status.parchment.com/ पर लिखा है, “Canvas, Canvas Beta, Canvas test इस समय उपलब्ध नहीं हैं, लेकिन हम Parchment सहित अन्य सभी product environments की साथ-साथ निगरानी कर रहे हैं। अभी तक हमारे पास यह मानने का कोई कारण नहीं है कि Parchment resources प्रभावित हुए हैं”