Portal Login Canvas Diretas dalam Kampanye Pemerasan Massal Geng ShinyHunters
Insiden keamanan siber yang melanda raksasa teknologi pendidikan Instructure terus memburuk. Geng pemeras ShinyHunters kembali berhasil menembus pertahanan sistem, kali ini dengan mengeksploitasi kerentanan untuk mengubah tampilan (deface) portal login Canvas di ratusan perguruan tinggi dan universitas.
Serangan terbaru ini merupakan eskalasi dari kebocoran data masif yang sebelumnya telah mengguncang platform Learning Management System (LMS) populer tersebut.
Pesan Pemerasan Terpampang di Halaman Login
Perubahan tampilan halaman (defacement) ini dilaporkan sempat terlihat selama sekitar 30 menit sebelum akhirnya ditarik secara offline oleh pihak Instructure.
Alih-alih menampilkan kolom kredensial biasa, sekitar 330 institusi pendidikan mendapati portal login Canvas mereka (termasuk pada aplikasi seluler Canvas) digantikan oleh pesan ancaman langsung dari ShinyHunters.
Dalam pesannya, peretas mengklaim bertanggung jawab atas pelanggaran data Instructure sebelumnya dan mengancam akan membocorkan data sensitif siswa jika tebusan tidak dibayarkan selambat-lambatnya pada 12 Mei 2026.
“ShinyHunters telah meretas Instructure (lagi). Alih-alih menghubungi kami untuk menyelesaikannya, mereka mengabaikan kami dan melakukan beberapa ‘perbaikan keamanan’ (security patches),” tulis pesan tersebut.
Lebih lanjut, mereka memperingatkan pihak sekolah yang terdampak untuk segera berkonsultasi dengan firma penasihat siber dan menghubungi mereka melalui platform TOX untuk merundingkan penyelesaian.
Imbas Peretasan Instructure Sebelumnya
Insiden defacement portal login ini terjadi hanya selang satu minggu setelah Instructure mengonfirmasi bahwa mereka tengah menyelidiki serangan siber besar-besaran.
Minggu lalu, ShinyHunters mengklaim telah mencuri 280 juta catatan data siswa dan staf yang terkait dengan 8.809 sekolah, universitas, dan platform pendidikan yang menggunakan Canvas. Data yang diklaim bocor tersebut mencakup:
- Catatan pengguna (user records)
- Pesan pribadi (private messages)
- Data pendaftaran (enrollment data)
- Informasi yang dikumpulkan melalui fitur ekspor data Canvas dan eksploitasi API.
Pihak Instructure telah mengonfirmasi adanya pencurian data, namun hingga saat ini masih bungkam mengenai detail serangan atau apakah mereka akan memberikan notifikasi resmi kepada jutaan siswa dan staf yang datanya terkompromi.
Siapa Sebenarnya ShinyHunters?
Nama ShinyHunters telah lama menjadi momok di dunia keamanan siber sejak 2018. Tahun ini, kelompok (atau afiliasi) yang menggunakan nama ini kembali menjadi salah satu kelompok peretas paling produktif dalam melancarkan pencurian data dan pemerasan terhadap perusahaan di seluruh dunia.
Beberapa taktik dan target utama mereka meliputi:
- Target Lingkungan Cloud: Fokus utama mereka adalah lingkungan Cloud SaaS, seperti Salesforce, serta mengincar token otentikasi dengan meretas perusahaan integrasi pihak ketiga.
- Vishing (Voice Phishing): Mereka sangat dikenal dengan taktik serangan vishing, di mana mereka menyamar sebagai staf dukungan TI (IT Support) untuk mengelabui karyawan agar menyerahkan kredensial otentikasi tunggal (SSO) Okta, Microsoft, dan Google, beserta kode MFA mereka.
- Device Code Vishing: Taktik terbaru mereka melibatkan penyalahgunaan kode perangkat untuk mendapatkan token otentikasi Microsoft Entra.
- Extortion-as-a-Service: ShinyHunters juga diketahui beroperasi sebagai layanan pemerasan untuk peretas lain (sebagai pihak ketiga yang menagih tebusan) dengan imbalan pembagian keuntungan.
Meskipun aparat penegak hukum telah melakukan banyak penangkapan terkait operasi ShinyHunters (seperti pada kasus pencurian data Snowflake dan Breached v2), perusahaan dan institusi di seluruh dunia tampaknya masih terus dihantui oleh bayang-bayang pesan ancaman berbunyi, “We are ShinyHunters.”
Sumber: Lawrence Abrams
