Có bao giờ bạn tự hỏi dữ liệu cá nhân của mình được bảo vệ như thế nào trên các nền tảng học tập trực tuyến? Instructure - công ty đứng sau nền tảng Canvas Learning Management System (LMS) phục vụ hơn 30 triệu người dùng toàn cầu - vừa xác nhận bị tấn công mạng nghiêm trọng. Nhóm hacker ShinyHunters đã thâm nhập thành công vào hệ thống và đánh cắp một lượng lớn dữ liệu nhạy cảm. Vụ việc này một lần nữa gióng lên hồi chuông báo động về tình trạng an ninh mạng trong lĩnh vực giáo dục số.

ShinyHunters tái xuất với đòn tấn công tinh vi

ShinyHunters không còn xa lạ trong giới an ninh mạng. Đây là nhóm tội phạm mạng chuyên nghiệp hoạt động theo mô hình ransomware-as-a-service (dịch vụ mã độc tống tiền), từng gây ra hàng loạt vụ tấn công gây chấn động như Microsoft, Tokopedia hay Homechef. Điểm đặc biệt của nhóm này là khả năng khai thác các lỗ hổng zero-day (lỗ hổng chưa được vá) và thực hiện các cuộc tấn công APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao) cực kỳ tinh vi.

Trong vụ tấn công Instructure lần này, ShinyHunters đã sử dụng kỹ thuật lateral movement (di chuyển ngang) để từ một điểm xâm nhập ban đầu, lan rộng quyền kiểm soát ra toàn bộ mạng nội bộ. Chúng tôi cho rằng đây không phải là một cuộc tấn công ngẫu nhiên mà được chuẩn bị kỹ lưỡng nhằm vào ngành giáo dục - lĩnh vực đang trải qua quá trình số hóa mạnh mẽ nhưng bảo mật còn lỏng lẻo.

Lỗ hổng bảo mật từ đâu mà có?

Instructure chưa công bố chi tiết về vector tấn công (phương thức xâm nhập) cụ thể, nhưng theo phân tích của các chuyên gia, có thể kẻ tấn công đã khai thác lỗ hổng SQL Injection hoặc Remote Code Execution (thực thi mã từ xa) trong hệ thống Canvas LMS. Những lỗ hổng này thường xuất hiện do việc validate (xác thực) input từ người dùng không đúng cách, cho phép hacker chèn mã độc vào database hoặc thực thi lệnh trái phép trên server.

Một yếu tố đáng quan ngại khác là xu hướng các tổ chức giáo dục thường ưu tiên tính năng và khả năng truy cập hơn là bảo mật. Nhiều trường học và đại học vẫn sử dụng các phiên bản LMS cũ, chưa được cập nhật patch bảo mật mới nhất. Theo báo cáo của Cybersecurity & Infrastructure Security Agency (CISA), hơn 60% các tổ chức giáo dục toàn cầu đang vận hành ít nhất một hệ thống có lỗ hổng bảo mật nghiêm trọng.

Hàng triệu người dùng trong tầm ngắm

Tác động của vụ tấn công này không thể đánh giá thấp. Canvas LMS được sử dụng bởi hơn 6.000 trường học và đại học trên 50 quốc gia, phục vụ khoảng 30 triệu học sinh, sinh viên và giảng viên. Dữ liệu bị đánh cắp có thể bao gồm thông tin cá nhân như họ tên, email, số điện thoại, địa chỉ, thậm chí cả thông tin tài chính nếu có liên kết với hệ thống thanh toán học phí trực tuyến.

Tại Việt Nam, mặc dù Canvas chưa phổ biến rộng rãi như các nền tảng khác, nhưng một số trường đại học quốc tế và các tổ chức giáo dục có vốn đầu tư nước ngoài đang sử dụng hệ thống này. Theo thống kê của Bộ Giáo dục và Đào tạo, có khoảng 15-20 cơ sở giáo dục trong nước đang triển khai Canvas, ảnh hưởng đến khoảng 50.000 học sinh sinh viên Việt Nam.

Khuyến nghị bảo vệ khẩn cấp cho người dùng

Nếu bạn đang sử dụng Canvas hoặc bất kỳ nền tảng LMS nào, chúng tôi khuyến nghị thực hiện ngay các bước sau: Thứ nhất, thay đổi mật khẩu Canvas và tất cả tài khoản có liên quan ngay lập tức. Sử dụng mật khẩu mạnh kết hợp ít nhất 12 ký tự bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Thứ hai, kích hoạt xác thực hai yếu tố (2FA) nếu nền tảng hỗ trợ để tăng cường bảo mật.

Đối với các tổ chức giáo dục, cần tiến hành audit bảo mật toàn diện hệ thống LMS đang sử dụng, cập nhật patch mới nhất và xem xét triển khai các giải pháp Web Application Firewall (tường lửa ứng dụng web) để chặn các cuộc tấn công tương tự. Quan trọng hơn, cần xây dựng quy trình incident response (ứng phó sự cố) rõ ràng để xử lý nhanh chóng khi có sự cố bảo mật xảy ra.