Instructure Konfirmasi Hacker Manfaatkan Celah Canvas untuk Deface Portal Login
Raksasa teknologi pendidikan, Instructure, telah mengonfirmasi bahwa kerentanan keamanan di platform mereka memungkinkan peretas untuk memodifikasi (deface) portal login Canvas dan meninggalkan pesan pemerasan kepada institusi terkait.
Berdasarkan laporan, insiden pembobolan dan defacement ini melibatkan berbagai kerentanan Cross-Site Scripting (XSS) yang memungkinkan penyerang untuk mendapatkan sesi otentikasi sebagai admin.
Serangan Ganda oleh ShinyHunters
Serangan ini merupakan pukulan kedua yang bertujuan untuk menarik perhatian dan menekan Instructure agar bersedia bernegosiasi terkait tebusan, menyusul pembobolan awal yang terungkap seminggu sebelumnya. Instructure, pengembang Canvas—sistem manajemen pembelajaran (LMS) populer yang digunakan oleh sekolah dan universitas di seluruh dunia—pertama kali menemukan jaringan mereka dibobol pada 29 April 2026.
Beberapa hari setelahnya, kelompok peretas ShinyHunters memublikasikan nama Instructure di situs kebocoran data mereka, mengklaim telah mencuri lebih dari 3,6 Terabyte data yang tidak dikompresi.
Dalam upaya memaksa pembayaran tebusan, ShinyHunters kembali meretas Instructure pada 7 Mei 2026 menggunakan kerentanan yang sama dengan intrusi awal. Mereka menyuntikkan kode JavaScript berbahaya melalui bug XSS pada fitur konten yang dibuat pengguna (user-generated content), memberi mereka akses ke sesi admin yang diautentikasi dan izin untuk melakukan tindakan tingkat tinggi.
Fokus pada Lingkungan ‘Free-for-Teacher’
Pihak Instructure mengonfirmasi bahwa masalah keamanan yang dieksploitasi ini memengaruhi lingkungan Free-for-Teacher, yakni versi terbatas Canvas LMS yang disediakan gratis untuk pendidik individu.
“Pelaku yang tidak sah membuat perubahan pada halaman yang muncul ketika beberapa siswa dan guru masuk melalui Canvas,” ungkap pihak Instructure.
ShinyHunters menggunakan celah ini untuk menambahkan pesan ancaman langsung di portal login Canvas (seperti yang terlihat di Universitas Texas San Antonio), memperingatkan bahwa perusahaan dan sekolah yang menggunakan platform tersebut memiliki waktu hingga 12 Mei 2026 untuk merespons dan menegosiasikan tebusan.
Untuk mencegah aktivitas berbahaya menyebar, Instructure sempat mematikan jaringan Canvas dan menonaktifkan akun Free-For-Teacher hingga masalah teratasi. Layanan Canvas utama dilaporkan telah dipulihkan dan dapat digunakan kembali sejak 9 Mei.
Dampak Pencurian Data yang Masif
Meskipun tidak ada data tambahan yang dikompromikan saat peretas melakukan defacement pada portal login, data yang telah dieksfiltrasi oleh ShinyHunters pada pembobolan pertama sangat mengkhawatirkan.
Data yang dicuri kemungkinan besar mencakup informasi sensitif seperti:
- Nama pengguna (Username)
- Alamat email
- Nama mata kuliah/kursus
- Informasi pendaftaran (enrollment)
- Pesan internal
Menurut klaim ShinyHunters, pelanggaran Instructure ini berdampak pada 8.809 organisasi pendidikan (sekolah, universitas, perguruan tinggi, platform online). Mereka mengklaim memegang lebih dari 275 juta rekam data milik siswa, guru, dan anggota staf lainnya.
