Một 'thỏa thuận' bí ẩn vừa được ký kết giữa Instructure và nhóm hacker khét tiếng ShinyHunters sau vụ tấn công mạng khiến hệ thống Canvas - nền tảng học trực tuyến được hàng triệu sinh viên sử dụng - bị tê liệt hoàn toàn. Điều đáng chú ý là ngay trong ngày công ty công bố tin này, Ủy ban An ninh Nội địa Hạ viện Mỹ đã gửi thư chất vấn, cho thấy mức độ nghiêm trọng của sự việc. Chúng tôi cho rằng việc sử dụng từ 'thỏa thuận' thay vì 'giải pháp an ninh' hay 'khắc phục' đã làm dấy lên nghi ngờ về khả năng Instructure đã phải trả tiền chuộc cho tội phạm mạng.

Khi 'thỏa thuận' trở thành từ khóa gây tranh cãi

Instructure, công ty mẹ của nền tảng Canvas LMS (Learning Management System - hệ thống quản lý học tập), đã chính thức thông báo đạt được 'thỏa thuận' với nhóm ShinyHunters nhằm khôi phục hoạt động bình thường cho hệ thống. Tuy nhiên, công ty từ chối tiết lộ bất kỳ chi tiết nào về nội dung thỏa thuận này, khiến cộng đồng an ninh mạng đặt ra nhiều câu hỏi. Canvas hiện phục vụ hơn 30 triệu người dùng trên toàn cầu, bao gồm sinh viên, giáo viên và cán bộ quản lý giáo dục tại hàng nghìn trường đại học.

Phản ứng nhanh chóng của Ủy ban An ninh Nội địa Hạ viện Mỹ cho thấy tầm quan trọng của vụ việc đối với an ninh quốc gia. Bức thư chất vấn được gửi đi chỉ vài giờ sau thông báo của Instructure, yêu cầu công ty làm rõ bản chất của 'thỏa thuận' và đánh giá mức độ thiệt hại dữ liệu. Chúng tôi nhận định đây là dấu hiệu cho thấy chính phủ Mỹ lo ngại về khả năng các tổ chức giáo dục đang trở thành mục tiêu ưa thích của tội phạm mạng.

ShinyHunters - nhóm hacker 'thương hiệu' với lịch sử đáng sợ

ShinyHunters không phải cái tên xa lạ trong thế giới tội phạm mạng. Nhóm này đã gây ra hàng loạt vụ tấn công quy mô lớn từ năm 2020, nhắm vào các công ty công nghệ và dịch vụ trực tuyến để đánh cắp thông tin người dùng rồi rao bán trên dark web. Phương thức hoạt động chủ yếu của họ là khai thác lỗ hổng bảo mật (vulnerability exploitation) và tấn công SQL injection để xâm nhập vào cơ sở dữ liệu của các tổ chức lớn.

Trong vụ tấn công Canvas lần này, ShinyHunters có khả năng đã sử dụng phương pháp ransomware (mã độc mã hóa dữ liệu đòi tiền chuộc) kết hợp với data exfiltration (đánh cắp dữ liệu). Điều này giải thích tại sao Instructure phải đạt 'thỏa thuận' thay vì chỉ đơn giản khôi phục hệ thống từ bản sao lưu. Theo đánh giá của chúng tôi, dữ liệu sinh viên bao gồm thông tin cá nhân, điểm số và tài liệu học tập có thể đã bị chiếm đoạt, khiến việc trả tiền chuộc trở thành lựa chọn 'buộc phải làm' để ngăn chặn việc công bố thông tin.

Cơn địa chấn trong hệ thống giáo dục toàn cầu

Vụ tấn công Canvas đã gây ra tác động domino (hiệu ứng chuỗi) trên toàn thế giới, khiến hàng trăm trường đại học phải tạm dừng các hoạt động học trực tuyến. Tại Việt Nam, ít nhất 15 trường đại học đang sử dụng Canvas hoặc các nền tảng tương tự đã phải chuyển sang phương thức học tập dự phòng. Thiệt hại tài chính ước tính lên tới hàng chục triệu USD chỉ trong tuần đầu tiên, chưa kể đến việc gián đoạn quá trình học tập của sinh viên trong mùa thi cuối kỳ.

Đặc biệt nghiêm trọng là khả năng rò rỉ dữ liệu cá nhân của hàng triệu người dùng, bao gồm cả thông tin nhạy cảm về tình trạng tài chính, địa chỉ cư trú và hồ sơ học tập. Trong bối cảnh identity theft (trộm cắp danh tính) đang gia tăng, việc này có thể dẫn đến làn sóng lừa đảo mới nhắm vào cộng đồng sinh viên và giáo viên. Chúng tôi đánh giá đây là một trong những vụ tấn công mạng nghiêm trọng nhất từ trước tới nay đối với lĩnh vực giáo dục.

Hành động ngay lập tức để bảo vệ bản thân

Nếu bạn đang sử dụng Canvas hoặc các nền tảng học trực tuyến khác, hãy thực hiện ngay các bước sau để bảo vệ tài khoản: Đầu tiên, thay đổi mật khẩu Canvas và tất cả các tài khoản sử dụng chung mật khẩu này. Kích hoạt two-factor authentication (xác thực hai yếu tố) nếu chưa có. Kiểm tra email thường xuyên để phát hiện các thông báo đăng nhập bất thường hoặc email lừa đảo mạo danh trường học.

Các trường đại học Việt Nam cần rà soát ngay hệ thống bảo mật, thực hiện penetration testing (kiểm thử xâm nhập) định kỳ và chuẩn bị phương án dự phòng khi nền tảng chính gặp sự cố. Đầu tư vào threat monitoring (giám sát mối đe dọa) 24/7 và đào tạo nhân viên IT về incident response (ứng phó sự cố) không còn là tùy chọn mà đã trở thành yêu cầu bắt buộc. Vụ việc Canvas cho thấy không ai có thể đứng ngoài cuộc chiến chống tội phạm mạng.