Hàng triệu học sinh trên toàn thế giới có thể đang đối mặt với nguy cơ lộ thông tin cá nhân nghiêm trọng. Instructure - công ty công nghệ giáo dục (edtech) đứng sau nền tảng Canvas nổi tiếng vừa chính thức thừa nhận bị tin tặc tấn công và đánh cắp dữ liệu nhạy cảm. Đáng lo ngại hơn, nhóm hacker không chỉ dừng lại ở việc phá hoại dịch vụ mà còn công khai đe dọa rò rỉ toàn bộ thông tin thu thập được. Với hàng triệu tài khoản người dùng bị ảnh hưởng, đây có thể trở thành một trong những vụ rò rỉ dữ liệu giáo dục lớn nhất trong năm 2024.

Canvas - nền tảng học trực tuyến bị "thủng lưới"

Instructure là công ty đứng sau Canvas - một trong những nền tảng quản lý học tập (LMS - Learning Management System) phổ biến nhất thế giới. Canvas được sử dụng rộng rãi tại các trường đại học, cao đẳng và trung học phổ thông ở nhiều quốc gia, bao gồm cả Việt Nam. Theo thông báo chính thức, tin tặc đã xâm nhập thành công vào hệ thống và đánh cắp các thông tin cá nhân quan trọng bao gồm họ tên, địa chỉ email, mã số sinh viên và tin nhắn của người dùng.

Chúng tôi cho rằng vụ tấn công này đặc biệt nghiêm trọng do tính chất của dữ liệu bị đánh cắp. Khác với các vụ rò rỉ thông thường chỉ ảnh hưởng đến thông tin cơ bản, tin tặc lần này đã tiếp cận được cả nội dung tin nhắn cá nhân giữa học sinh, giáo viên và phụ huynh. Điều này có nghĩa các cuộc trò chuyện riêng tư, thảo luận học tập và thậm chí thông tin nhạy cảm trong quá trình giảng dạy có thể bị lộ ra ngoài.

Kỹ thuật tấn công và điểm yếu hệ thống

Mặc dù Instructure chưa công bố chi tiết về phương thức tấn công, việc tin tặc có thể truy cập đồng thời vào nhiều loại dữ liệu khác nhau cho thấy đây có thể là cuộc tấn công có chủ đích và được chuẩn bị kỹ lưỡng. Theo kinh nghiệm phân tích của chúng tôi, các nền tảng edtech thường trở thành mục tiêu hấp dẫn do chứa lượng lớn dữ liệu cá nhân có giá trị và thường có biện pháp bảo mật kém chặt chẽ hơn so với các tổ chức tài chính.

Đặc biệt, việc hacker có thể gián đoạn dịch vụ đồng thời với việc đánh cắp dữ liệu cho thấy họ đã có quyền truy cập sâu vào hạ tầng hệ thống. Điều này có nghĩa cuộc tấn công không chỉ dừng lại ở việc khai thác lỗ hổng đơn lẻ mà có thể đã thâm nhập được vào các máy chủ quan trọng. Việc tin tặc đe dọa công bố dữ liệu cũng là chiến thuật phổ biến trong các vụ tấn công ransomware (mã độc tống tiền) hiện đại.

Tác động lan rộng đến cộng đồng giáo dục toàn cầu

Canvas hiện được sử dụng tại hơn 6.000 tổ chức giáo dục trên toàn thế giới với ước tính khoảng 30 triệu người dùng hoạt động hàng tháng. Tại Việt Nam, nhiều trường đại học và cao đẳng đã triển khai Canvas trong giai đoạn học trực tuyến phát triển mạnh từ năm 2020. Các trường như Đại học FPT, Đại học Kinh tế Quốc dân và nhiều cơ sở giáo dục khác có thể có dữ liệu học sinh, sinh viên bị ảnh hưởng.

Theo đánh giá của chúng tôi, vụ việc này có thể tạo ra hiệu ứng domino nghiêm trọng. Thông tin cá nhân bị rò rỉ có thể được sử dụng cho các cuộc tấn công lừa đảo qua email (phishing) nhắm vào học sinh và phụ huynh. Tin tặc có thể lợi dụng danh sách email và thông tin cá nhân để gửi các email giả mạo yêu cầu chuyển tiền học phí hoặc đăng ký các khóa học giả.

Hướng dẫn bảo vệ khẩn cấp cho người dùng Việt Nam

Học sinh, sinh viên và giáo viên Việt Nam đang sử dụng Canvas cần thực hiện ngay các bước sau để bảo vệ bản thân. Đầu tiên, hãy thay đổi mật khẩu Canvas ngay lập tức và đảm bảo sử dụng mật khẩu mạnh kết hợp chữ cái, số và ký tự đặc biệt. Nếu bạn đang sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau, hãy thay đổi tất cả chúng ngay. Kích hoạt xác thực hai yếu tố (2FA - Two-Factor Authentication) nếu nền tảng hỗ trợ để tăng cường bảo mật.

Quan trọng không kém, hãy đặc biệt cảnh giác với các email đáng ngờ trong thời gian tới. Tin tặc có thể sử dụng thông tin cá nhân đã thu thập để gửi email lừa đảo trông giống như thông báo chính thức từ trường học. Tuyệt đối không click vào link hoặc tải file đính kèm từ các email không rõ nguồn gốc. Nếu nhận được email yêu cầu cung cấp thông tin cá nhân hoặc thanh toán, hãy liên hệ trực tiếp với nhà trường để xác minh. Cuối cùng, theo dõi chặt chẽ các thông báo chính thức từ trường học về tình hình xử lý sự cố và tuân thủ các hướng dẫn bảo mật được cung cấp.