Hàng trăm trường đại học trên thế giới đang phải đối mặt với cơn ác mộng khi trang đăng nhập Canvas của họ bị biến thành công cụ tống tiền. Nhóm ShinyHunters - một băng đảng tội phạm mạng khét tiếng - vừa thực hiện cuộc tấn công mới nhắm vào Instructure, công ty đứng sau nền tảng quản lý học tập Canvas được hàng triệu sinh viên sử dụng hàng ngày. Điều đáng lo ngại là đây không phải lần đầu tiên họ "ghé thăm" hệ thống giáo dục trực tuyến này.

Kịch bản tấn công tinh vi và quy mô lớn

ShinyHunters đã khai thác một lỗ hổng bảo mật mới để xâm nhập vào cổng đăng nhập Canvas của hàng trăm trường cao đẳng và đại học. Thay vì đánh cắp dữ liệu ngầm lặng như thông thường, nhóm này chọn cách "khoe chiến tích" bằng việc thay đổi giao diện đăng nhập, biến chúng thành thông điệp tống tiền công khai. Chúng tôi cho rằng đây là chiến thuật tâm lý nhằm gây áp lực lên các cơ sở giáo dục, buộc họ phải trả tiền chuộc nhanh chóng.

Các chuyên gia bảo mật đánh giá cao mức độ tinh vi của cuộc tấn công này. ShinyHunters không chỉ tìm ra lỗ hổng mới mà còn tự động hóa quy trình tấn công để có thể nhắm vào hàng trăm mục tiêu cùng lúc. Vulnerability (lỗ hổng bảo mật) được khai thác lần này cho phép họ bypass các biện pháp bảo vệ và thay đổi nội dung hiển thị trên trang web mà không cần quyền quản trị viên.

Lỗ hổng Canvas: Cánh cửa mở cho tội phạm mạng

Canvas là một Learning Management System (hệ thống quản lý học tập) được sử dụng bởi hơn 30 triệu người dùng trên toàn cầu, bao gồm sinh viên, giảng viên và nhân viên quản lý. Platform (nền tảng) này lưu trữ một lượng lớn thông tin nhạy cảm như điểm số, thông tin cá nhân, nội dung học tập và dữ liệu liên lạc. Chính vì vậy, nó trở thành mục tiêu béo bở cho các nhóm tội phạm mạng.

Theo phân tích của chúng tôi, lỗ hổng mới này có thể thuộc loại Cross-Site Scripting (XSS - lỗ hổng cho phép chèn mã độc vào trang web) hoặc SQL Injection (chèn mã SQL để truy cập trái phép cơ sở dữ liệu). Instructure chưa công bố chi tiết kỹ thuật của lỗ hổng, nhưng khả năng thay đổi giao diện đăng nhập cho thấy mức độ nghiêm trọng không hề nhỏ. Điều này đặc biệt đáng lo ngại khi ShinyHunters từng thành công tấn công Canvas vào đầu năm 2024.

Tác động lan rộng: Từ danh tiếng đến dữ liệu sinh viên

Cuộc tấn công không chỉ gây thiệt hại về mặt kỹ thuật mà còn ảnh hưởng nghiêm trọng đến uy tín của các trường đại học. Khi sinh viên không thể truy cập vào hệ thống học tập hoặc nhìn thấy thông điệp tống tiền ngay trên trang đăng nhập, niềm tin vào khả năng bảo mật của trường học bị lung lay. Một số trường đã phải tạm thời chuyển sang các nền tảng học tập khác, gây gián đoạn nghiêm trọng cho hoạt động giảng dạy.

Rủi ro lớn nhất vẫn là khả năng dữ liệu cá nhân bị đánh cắp. ShinyHunters nổi tiếng với việc bán thông tin trên các marketplace của dark web, và dữ liệu giáo dục luôn có giá trị cao. Thông tin sinh viên có thể được sử dụng cho các cuộc tấn công phishing (lừa đảo qua email) tiếp theo hoặc đánh cắp danh tính. Với hàng triệu học sinh, sinh viên Việt Nam cũng đang sử dụng các nền tảng học tập trực tuyến, nguy cơ tương tự hoàn toàn có thể xảy ra.

Bảo vệ tài khoản: Hành động ngay lập tức

Các trường học và sinh viên cần thực hiện ngay các biện pháp bảo vệ khẩn cấp. Đầu tiên, thay đổi mật khẩu Canvas và tất cả tài khoản sử dụng cùng mật khẩu đó. Kích hoạt Two-Factor Authentication (xác thực hai yếu tố) nếu nền tảng hỗ trợ - đây là lớp bảo vệ quan trọng nhất. Sinh viên cũng nên kiểm tra các email khả nghi và tuyệt đối không nhấp vào liên kết từ nguồn không xác định.

Chúng tôi khuyến nghị các cơ sở giáo dục Việt Nam cần đánh giá lại hệ thống bảo mật của mình. Thực hiện penetration testing (kiểm tra xâm nhập) định kỳ, cập nhật các bản vá bảo mật kịp thời và xây dựng kế hoạch ứng phó sự cố mạng. Đặc biệt, cần có chính sách backup dữ liệu riêng biệt để đảm bảo hoạt động giáo dục không bị gián đoạn khi xảy ra tấn công tương tự.