Komite Keamanan Dalam Negeri Amerika Serikat (U.S. House Committee on Homeland Security) secara resmi memanggil jajaran eksekutif Instructure untuk memberikan kesaksian. Pemanggilan ini merupakan imbas dari dua serangan siber beruntun oleh kelompok pemeras ShinyHunters yang melumpuhkan platform Learning Management System (LMS) Canvas, tepat di tengah masa ujian akhir.
Investigasi Penanganan Keamanan Data
Melalui surat yang dikirimkan pada hari Senin kepada CEO Instructure, Steve Daly, Ketua Komite Andrew R. Garbarino menegaskan bahwa pemerintah sedang menginvestigasi insiden pelanggaran data yang berdampak pada puluhan juta siswa, pendidik, dan administrator.
“Hanya dalam kurun waktu satu minggu, kelompok kejahatan siber yang dikenal sebagai ShinyHunters berhasil membobol Instructure sebanyak dua kali,” tegas Komite dalam surat tersebut.
Pemerintah AS menilai bahwa rentetan pembobolan ini menimbulkan “pertanyaan serius” mengenai kapabilitas Instructure dalam merespons insiden serta kewajiban mereka dalam melindungi data pengguna yang disimpannya. Komite mendesak pihak Instructure atau perwakilan senior perusahaan untuk menghadiri sesi pengarahan paling lambat tanggal 21 Mei 2026.
Kilas Balik: Dua Serangan Fatal di Momen Kritis
- Serangan Pertama (Terdeteksi 29 April 2026): ShinyHunters mengeklaim berhasil mencuri 280 juta rekam data dari 8.809 perguruan tinggi, distrik sekolah, dan platform pendidikan online. Data yang diretas meliputi nama, email, nomor identitas siswa, dan riwayat komunikasi internal (meski tidak mencakup kata sandi atau data finansial).
- Serangan Kedua (Deface Portal): Karena Instructure pada awalnya menolak bernegosiasi, peretas mengeksploitasi celah Cross-Site Scripting (XSS) untuk mengambil alih sesi admin dan mengubah tampilan (deface) portal login Canvas. Aksi ini memicu disrupsi besar di berbagai sekolah di belasan negara bagian AS (termasuk California, Florida, dan Texas), bahkan memaksa sejumlah kampus membatalkan ujian akhir semester mereka.
Misteri “Kesepakatan” dan Penghapusan Data
Sehari sebelum pemanggilan oleh pemerintah ini, Instructure mengumumkan bahwa mereka telah mencapai “kesepakatan” tertutup dengan ShinyHunters untuk menghentikan publikasi data. Meskipun perusahaan tidak secara eksplisit mengakui adanya pembayaran tebusan, kelompok pemeras pada umumnya tidak akan pernah menghapus data curian tanpa adanya kompensasi.
Menyusul kesepakatan tersebut, ShinyHunters telah memperbarui situs kebocoran data mereka dengan sebuah pernyataan penutup:
“Kami tidak memiliki tambahan atau komentar mengenai situasi terbaru di perusahaan LMS ini. Jika Anda adalah institusi yang terdampak, kami tidak mengincar uang Anda. Tolong hentikan semua upaya untuk menghubungi kami, masalah ini telah diselesaikan. Perusahaan dan pelanggannya tidak akan lagi menjadi target atau dihubungi untuk pembayaran. Data tersebut kini sudah tidak ada.”