Canvas Giriş Portalları ShinyHunters Saldırısı Altında

Olay Özeti

Eğitim teknolojisi sektörünün önde gelen isimlerinden Instructure, siber güvenlik dünyasında kötü bir şöhrete sahip olan ShinyHunters şantaj çetesinin son hedefi oldu. 8 Mayıs 2026 tarihinde ortaya çıkan olayda, ShinyHunters'ın Instructure sistemlerindeki yeni bir güvenlik açığından faydalanarak yüzlerce kolej ve üniversitenin kullandığı Canvas Öğrenim Yönetim Sistemi (LMS) giriş portallarını tahrif ettiği bildirildi. Bu saldırı, sadece bir veri sızıntısı olmanın ötesinde, kurumların dijital vitrinlerini hedef alan ve kamuoyunda büyük yankı uyandıran bir eylem olarak dikkat çekiyor. Saldırganlar, ele geçirdikleri giriş sayfalarına kendi mesajlarını yerleştirerek hem Instructure'a hem de etkilenen eğitim kurumlarına yönelik bir şantaj kampanyası başlattıklarını duyurdular. Bu olay, ShinyHunters'ın Instructure'ı ilk hedef alışı değil; çetenin daha önce de şirkete yönelik siber saldırılar düzenlediği biliniyor.

Sızdırılan Veriler ve Kapsam

Mevcut bilgilere göre, bu saldırının birincil hedefi doğrudan öğrenci veya personel verilerini çalmak değil, sistemin bütünlüğünü bozarak bir güç gösterisi yapmak ve şantaj için baskı oluşturmaktır. Saldırının en belirgin sonucu, "deface" olarak bilinen web sitesi tahrifatıdır. Bu, bir web sitesinin orijinal içeriğinin silinip yerine saldırganın kendi mesajının, logosunun veya propagandasının yerleştirilmesi anlamına gelir. Bu vakada, yüzlerce eğitim kurumunun Canvas giriş sayfaları, ShinyHunters tarafından bırakılan bir mesajla değiştirilmiştir. Bu durum, anlık olarak veri sızıntısı anlamına gelmese de ciddi güvenlik riskleri barındırmaktadır. Bir saldırganın bir web sitesini tahrif edebilmesi, o sunucuya veya uygulamaya belirli bir seviyede yetkisiz erişim sağladığını gösterir. Bu erişimin, ilerleyen aşamalarda veri tabanlarına sızmak veya daha derin sistemlere nüfuz etmek için bir basamak olarak kullanılma potansiyeli her zaman mevcuttur. Saldırının kapsamı oldukça geniştir; dünya genelinde yüzlerce yükseköğretim kurumu bu olaydan etkilenmiştir. Bu durum, milyonlarca öğrenci ve eğitimcinin kullandığı kritik bir altyapının ne kadar hassas olabileceğini bir kez daha gözler önüne sermiştir.

Saldırının Teknik Boyutu

ShinyHunters çetesinin bu saldırıyı nasıl gerçekleştirdiğine dair kesin teknik ayrıntılar henüz Instructure veya bağımsız güvenlik araştırmacıları tarafından doğrulanmadı. Ancak, BleepingComputer'ın raporuna göre saldırı, Instructure'ın altyapısında bulunan ve daha önce bilinmeyen "başka bir güvenlik açığı" kullanılarak gerçekleştirildi. Siber güvenlikte "güvenlik açığı" (vulnerability), bir yazılım veya sistemde bulunan ve kötü niyetli bir aktörün istismar edebileceği bir zayıflıktır. Bu zayıflıklar, kodlama hatalarından, yanlış yapılandırmalardan veya tasarım kusurlarından kaynaklanabilir.

Saldırganlar muhtemelen aşağıdaki adımları izlemişlerdir:

• Keşif: Saldırganlar, Canvas platformunun kodlarını ve altyapısını analiz ederek istismar edilebilecek potansiyel zayıflıklar aramışlardır.
• İstismar (Exploitation): Belirledikleri bir güvenlik açığını kullanarak sisteme yetkisiz erişim sağlamışlardır. Bu, genellikle özel olarak hazırlanmış bir kod parçası veya komut göndererek yapılır.
• Yetki Yükseltme: Sisteme ilk eriştiklerinde düşük yetkilere sahip olabilirler. Daha sonra, sistem içinde daha fazla kontrol elde etmek için başka zayıflıkları kullanarak yetkilerini artırmaya çalışırlar.
• Tahrifat (Defacement): Yeterli kontrolü ele geçirdikten sonra, web sunucusunda barındırılan giriş portalı dosyalarını (HTML, CSS, JavaScript dosyaları) kendi hazırladıkları dosyalarla değiştirmişlerdir.

Bu tür bir saldırı, genellikle web uygulaması güvenlik duvarlarının (WAF) atlatılması veya sıfır gün açığı (zero-day) olarak bilinen, yazılım üreticisi tarafından henüz fark edilmemiş bir açığın kullanılmasıyla mümkün olur. ShinyHunters gibi deneyimli bir grubun, bu tür karmaşık saldırıları gerçekleştirebilecek teknik kapasiteye sahip olduğu bilinmektedir.

Etkilenen Kullanıcılar Kimler

Bu siber saldırı, Canvas platformunu kullanan geniş bir kullanıcı kitlesini doğrudan veya dolaylı olarak etkilemektedir. Başlıca etkilenen gruplar şunlardır:

• Öğrenciler: Ders materyallerine, ödevlerine, sınavlarına ve notlarına erişimde kesintiler yaşayabilirler. Tahrif edilmiş bir giriş sayfası görmek, öğrenciler arasında panik ve güvensizlik yaratabilir. Ayrıca, bu durumun yarattığı belirsizlik, eğitim süreçlerini olumsuz etkileyebilir.
• Eğitimciler ve Akademisyenler: Ders içeriklerini yönetme, ödevleri değerlendirme ve öğrencilerle iletişim kurma gibi temel görevlerini yerine getirmekte zorlanabilirler. Bu durum, akademik takvimin aksamasına neden olabilir.
• Üniversite ve Kolej Yönetimleri: Kurumlarının itibarı ciddi şekilde zarar görebilir. Bu tür bir olay, kurumun siber güvenlik önlemlerinin yetersiz olduğu algısını yaratabilir. Ayrıca, sistemleri normale döndürmek ve olası veri kayıplarını araştırmak için ciddi mali ve insan kaynağı ayırmaları gerekebilir.
• Instructure: Şirket, hem finansal hem de itibar açısından büyük bir darbe almıştır. Müşteri güvenini yeniden tesis etmek ve sistemlerindeki güvenlik açıklarını kapatmak için yoğun bir çaba sarf etmeleri gerekecektir.

Ne Yapmalısınız

Eğer öğrenci, eğitimci veya bu saldırıdan etkilenen bir kurumun çalışanıysanız, sakin kalmalı ve aşağıdaki adımları izlemelisiniz:

• Resmi Kanalları Takip Edin: Üniversitenizin veya kolejinizin resmi web sitesi, sosyal medya hesapları ve e-posta duyurularını düzenli olarak kontrol edin. Kurumunuz, olayla ilgili en güncel ve doğru bilgiyi sağlayacaktır.
• Parolanızı Değiştirin: Canvas portalı tekrar güvenli hale getirildiğinde ve kurumunuz tarafından tavsiye edildiğinde, parolanızı hemen değiştirin. Yeni parolanızın güçlü ve başka hiçbir platformda kullanmadığınız benzersiz bir parola olmasına özen gösterin.
• İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin: Eğer kurumunuz destekliyorsa, hesabınız için İki Faktörlü Kimlik Doğrulamayı (2FA) mutlaka etkinleştirin. Bu, parolanız çalınsa bile hesabınıza yetkisiz erişimi önleyen ek bir güvenlik katmanıdır.
• Oltalama (Phishing) Saldırılarına Karşı Dikkatli Olun: Siber suçlular, bu tür olayları genellikle oltalama saldırıları düzenlemek için bir fırsat olarak görürler. Size Canvas veya üniversitenizden geliyormuş gibi görünen ve kişisel bilgilerinizi veya parolanızı isteyen şüpheli e-postalara, SMS'lere veya aramalara itibar etmeyin.

Şirketin Açıklaması

Instructure, olayın ortaya çıkmasının ardından hızla bir açıklama yaparak durumu kabul etti. Şirket, güvenlik ekiplerinin olayı araştırmak ve etkilenen sistemleri normale döndürmek için aralıksız çalıştığını belirtti. Yapılan ilk açıklamada, saldırının bir web sitesi tahrifatı olduğu ve şu anki bulgulara göre herhangi bir müşteri verisinin çalındığına dair bir kanıt bulunmadığı vurgulandı. Instructure, etkilenen tüm eğitim kurumlarıyla yakın iletişim halinde olduklarını ve süreç boyunca şeffaf bir şekilde bilgi paylaşımına devam edeceklerini taahhüt etti. Şirket ayrıca, altyapılarını güçlendirmek ve gelecekte benzer olayların yaşanmasını önlemek için ek güvenlik önlemleri aldıklarını da duyurdu.

Kaynak

https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/