Digitalni slom obrazovanja: Kako je hakerska grupa ShinyHunters “provalila” Canvas?

Dok se svet oslanja na digitalne platforme za obrazovanje kao na stubove moderne civilizacije, 12. maj 2026. godine ostaće upisan kao dan kada je taj stub ozbiljno poljuljan. Kompanija Instructure, koja stoji iza globalno dominantne platforme Canvas, postala je žrtva jednog od najobimnijih sajber napada u protekloj deceniji.

Razmere katastrofe: 275 miliona zapisa na kocki

Hakerska grupa ShinyHunters, poznata po napadima na tehnološke gigante u prošlosti, objavila je da poseduje 275 miliona zapisa ukradenih iz baze podataka platforme Canvas. Ovi podaci potiču iz oko 9.000 obrazovnih institucija širom sveta.

Među ukradenim informacijama nalaze se:

Lični podaci učenika i nastavnika (imena, mejl adrese, brojevi telefona).

Akademski zapisi i ocene.

Pristupni podaci za integrisane servise.

Finansijski podaci vezani za školarine u određenim regionima.

Uzroci incidenta: Gde je bila “slaba karika”?

Analiza incidenta ukazuje na to da napad nije bio rezultat direktnog proboja glavnog “firewall-a”, već eksploatacije specifične funkcionalnosti sistema.

Kompromitacija “Free for Teacher” naloga: Napadači su ciljali besplatne naloge namenjene nastavnicima. Ovi nalozi su često imali slabije sigurnosne polise (poput neobavezne dvofaktorske autentifikacije) u poređenju sa onima kojima upravljaju veliki univerzitetski IT timovi.

Eskalacija privilegija: Jednom kada su hakeri dobili pristup ovim nalozima, iskoristili su ranjivost u internom API-ju platforme Canvas da bi se kretali horizontalno kroz sistem i dobili pristup širim bazama podataka.

Third-party integracije: Mnoge institucije koriste dodatne alate unutar Canvasa. Veruje se da su loše konfigurisani tokeni za pristup u tim alatima olakšali hakerima izvlačenje podataka bez aktiviranja alarma.

Rasplet i sporna “otkupnina”

Prema najnovijim informacijama od 12. maja 2026. godine, kompanija Instructure je navodno postigla neku vrstu dogovora sa grupom ShinyHunters pre isteka roka za isplatu otkupnine. Iako zvanični izvori ćute o detaljima, spekuliše se da su podaci “vraćeni” ili bar uklonjeni sa crnog tržišta.

Međutim, u svetu sajber bezbednosti, plaćanje otkupnine ili dogovor sa hakerima nikada nije garant da podaci nisu već kopirani i da se neće pojaviti na Dark Web-u u budućnosti.

Kako rešiti problem? (Tehnička perspektiva za administratore)

Da bismo sprečili ovakve scenarije na našim portalima i sistemima, neophodno je primeniti radikalan pristup:

Zero Trust Architecture: Nikada ne pretpostavljajte da je nalog siguran samo zato što je “nastavnički” ili “besplatan”. Svaki nalog mora imati striktne limite pristupa.

Obavezna 2FA/MFA: Višefaktorska autentifikacija više nije opcija – ona mora biti obavezna za svakog korisnika sistema, bez izuzetka.

Audit API poziva: Implementacija sistema koji u realnom vremenu prati neuobičajeno velike zahteve za preuzimanje podataka (Data Exfiltration Monitoring).

Redovno čišćenje “siročadi” (Orphaned Accounts): Redovno brisanje neaktivnih ili probnih naloga koji hakerima služe kao idealna “ulazna vrata”.

Zaključak: Obrazovanje kao najranjivija tačka društva

Napad na Canvas je više od krađe podataka; to je udar na privatnost budućih generacija. Ovaj incident nam pokazuje da digitalna transformacija obrazovanja nosi sa sobom rizike za koje mnoge institucije još uvek nisu spremne.

Kao zajednica koja se bavi informacionim tehnologijama, naša uloga na portalu je da neprestano ukazujemo na to da besplatni nalozi ne smeju značiti “besplatnu kartu” za hakere. Bezbednost ne sme biti podeljena na “premium” i “free” nivo – ona mora biti univerzalna.

Dokle god kompanije budu prioritet davale brzini širenja korisničke baze nad dubinskom sigurnosnom analizom svojih “besplatnih” alata, hakerske grupe poput ShinyHunters će imati otvoren put. Lekcija je jasna: u 2026. godini, vaša najslabija karika određuje vašu sudbinu.