Instructure: ShinyHunters trả lại 3,6 TB dữ liệu đánh cắp, cam kết không phát tán
Instructure đạt được thỏa thuận với nhóm hacker ShinyHunters để ngăn dữ liệu bị phát tán trực tuyến.
Instructure là hãng công nghệ giáo dục nổi tiếng đứng sau hệ thống quản lý học tập Canvas. Công ty Mỹ cho biết hơn 30 triệu giáo viên và học sinh đang sử dụng nền tảng Canvas tại hơn 8.000 trường học và đại học trên thế giới.
Mới đây, Instructure cho biết ShinyHunters đã trả lại dữ liệu đánh cắp được và cung cấp nhật ký xác nhận việc tiêu hủy dữ liệu.
“Chúng tôi hiểu những tình huống như thế này có thể gây bất an ra sao và việc bảo vệ cộng đồng luôn là ưu tiên hàng đầu của chúng tôi. Với trách nhiệm đó, Instructure đã đạt được thỏa thuận với kẻ xâm nhập trái phép liên quan đến vụ việc này”, Instructure thông báo.
“Chúng tôi được thông báo rằng sẽ không có khách hàng nào của Instructure bị tống tiền, vì sự cố này, dù công khai hay theo cách khác. Thỏa thuận áp dụng cho tất cả khách hàng bị ảnh hưởng của Instructure. Các khách hàng riêng lẻ không cần tự liên hệ hay đàm phán với kẻ xâm nhập trái phép”, công ty cho biết thêm.
Tuy nhiên, như FBI (Cục Điều tra Liên bang Mỹ) nhiều lần cảnh báo, việc trả tiền chuộc không đảm bảo rằng hacker sẽ không bán dữ liệu đánh cắp được cho các tội phạm mạng khác hoặc cố gắng tống tiền nạn nhân một lần nữa.
Instructure nói thêm rằng ban lãnh đạo công ty sẽ chia sẻ nhiều thông tin hơn về vụ việc, cũng như các biện pháp bảo mật được triển khai để ngăn chặn những vụ xâm nhập tương tự trong hội thảo trực tuyến ngày 13/5.
ShinyHunters đã nhận trách nhiệm về vụ tấn công và tuyên bố đánh cắp hơn 3,6 TB dữ liệu chưa nén. Trước đó, Instructure xác nhận dữ liệu đã bị lấy cắp trong cuộc tấn công mạng.
Instructure chia sẻ với trang BC rằng ShinyHunters đã khai thác một lỗ hổng bảo mật trong môi trường Free-for-Teacher, phiên bản miễn phí, giới hạn tính năng của Canvas LMS dành cho giáo viên cá nhân, để đánh cắp dữ liệu.
Nhóm tội phạm mạng này tiếp tục tấn công Instructure lần nữa vào ngày 7/5 bằng chính lỗ hổng đã dùng trong vụ xâm nhập ban đầu, nhằm chỉnh sửa giao diện cổng đăng nhập Canvas và để lại thông điệp tống tiền. ShinyHunters cảnh báo Instructure cùng khách hàng phải đàm phán trả tiền chuộc trước ngày 12/5.
Khai thác nhiều lỗ hổng XSS
Dù Instructure không chia sẻ thêm chi tiết về vụ xâm nhập và hành vi chỉnh sửa giao diện, trang BC cho biết kẻ tấn công đã khai thác nhiều lỗ hổng cross-site scripting (XSS).
Cụ thể hơn, ShinyHunters đã chèn mã JavaScript độc hại để khai thác các lỗ hổng XSS trong những tính năng cho phép người dùng tạo nội dung trên Canvas, từ đó chiếm được các phiên đăng nhập quản trị đã xác thực và thực hiện những hành động có đặc quyền.
“Kẻ xâm nhập trái phép đã thay đổi các trang hiển thị khi một số học sinh và giáo viên đăng nhập qua Canvas. Canvas đã được khôi phục hoàn toàn và hoạt động trở lại bình thường. Chúng tôi khuyến nghị khách hàng tiếp tục theo dõi bình thường Canvas, các dịch vụ tích hợp và hoạt động quản trị để kịp thời phát hiện dấu hiệu bất thường”, Instructure cho biết.
Sau khi bị xâm nhập trái phép, công ty cho biết đã tạm thời vô hiệu hóa các tài khoản Free-For-Teacher và đang khắc phục những vấn đề bảo mật này để ngăn chặn các sự cố tương tự trong tương lai.
Vào tháng 9/2025, Instructure cũng từng công bố một vụ xâm nhập khác, cũng do ShinyHunters nhận trách nhiệm, cho phép hacker truy cập dữ liệu trong hệ thống Salesforce của hãng công nghệ giáo dục này.
Những vụ tấn công khác gần đây mà ShinyHunters nhận trách nhiệm liên quan đến Google, Cisco, PornHub, Ủy ban châu Âu, công ty hẹn hò trực tuyến Match Group, Rockstar Games, gã khổng lồ an ninh gia đình ADT, dịch vụ video Vimeo, hãng công nghệ giáo dục McGraw-Hill, công ty sản xuất thiết bị y tế Medtronic và nhà bán lẻ thời trang nhanh Zara.
XSS là lỗ hổng bảo mật web cho phép kẻ tấn công chèn mã độc, thường là JavaScript, vào website hoặc ứng dụng web để chạy trên trình duyệt của người dùng khác.
Khi người dùng truy cập trang bị cài mã độc, đoạn mã này có thể đánh cắp cookie đăng nhập, chiếm phiên làm việc (session), lấy dữ liệu cá nhân hoặc thực hiện hành động thay người dùng mà họ không hề biết.
Ví dụ, nếu một diễn đàn hoặc hệ thống học trực tuyến cho phép người dùng đăng bình luận nhưng không kiểm tra nội dung kỹ, hacker có thể chèn đoạn JavaScript độc hại vào bình luận đó. Khi quản trị viên hoặc người dùng khác mở trang, mã độc sẽ tự chạy trong trình duyệt của họ.
Trong vụ tấn công Instructure, ShinyHunters đã khai thác các lỗ hổng XSS trong những tính năng cho phép người dùng tạo nội dung trên Canvas. Nhờ vậy, nhóm hacker này chiếm được phiên đăng nhập quản trị và thực hiện các hành động có quyền cao trong hệ thống.
ShinyHunters chuyên tấn công mạng quy mô lớn rồi tống tiền doanh nghiệp
ShinyHunters nổi tiếng với các vụ tấn công mạng quy mô lớn nhằm đánh cắp dữ liệu rồi tống tiền doanh nghiệp.
Được thành lập hồi 2020, ShinyHunters gây chú ý ngay năm đầu hoạt động khi chiếm đoạt hơn 200 triệu bản ghi của 13 công ty lớn trên thế giới. Nhóm này thường tập trung tấn công đánh cắp dữ liệu trên nền tảng đám mây hoặc ứng dụng web của nạn nhân để tống tiền.
Thay vì cố gắng che giấu dấu vết, ShinyHunters công khai lượng dữ liệu đã đánh cắp và công bố trên các diễn đàn ngầm, sau đó rao bán. Những vụ hack liên tục mà ShinyHunters thực hiện và nhận trách nhiệm tạo nên nỗi hoang mang trong cộng đồng an ninh mạng thế giới.
Cách thức quen thuộc của ShinyHunters là xâm nhập hệ thống nạn nhân qua lỗ hổng đã biết hoặc social engineering.
Hồi tháng 9/2025, trang web DataBreaches cho biết ShinyHunters khai thác thành công một lỗ hổng N-day trong phần mềm đã hết hỗ trợ tại Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC), chiếm đoạt khoảng 3 tỉ bản ghi toàn hệ thống, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.
N-day tức là lỗ hổng bảo mật đã được công khai hoặc có bản vá nhưng chưa được khắc phục triệt để.
Để kiếm tiền, ShinyHunters tích cực sử dụng các diễn đàn dark web (web tối) như RaidForums và BreachForums, rao bán dữ liệu đánh cắp được nhằm tăng uy tín.
Ngoài ra, ShinyHunters còn thiết lập liên kết gián tiếp với nhóm Scattered Spider để hình thành mạng lưới tội phạm mạng quốc tế. Sự hợp tác này giúp ShinyHunters mở rộng phạm vi, phối hợp trong các chiến dịch lớn và khai thác dữ liệu chiến lược hiệu quả hơn, đồng thời cho thấy các nhóm tội phạm mạng hiện nay hoạt động theo một hệ sinh thái phức tạp, khó kiểm soát.
Scattered Spider là tên được đặt không chính thức cho nhóm tội phạm mạng gồm phần lớn là nam giới trẻ tuổi, chủ yếu từ Mỹ, Anh và Tây Âu, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Hôm 20/8/2025, Noah Urban (thành viên 20 tuổi của Scattered Spider) bị kết án 10 năm tù ở Mỹ, liên quan đến hàng loạt vụ tấn công mạng lớn và trộm tiền mã hóa.
Các chuyên gia khác nói ShinyHunters và Scattered Spider dường như đang hoạt động đồng bộ, nhắm vào một ngành công nghiệp cùng lúc, khiến việc xác định cuộc tấn công trở nên khó khăn hơn.
Danh tính phần lớn thành viên ShinyHunters vẫn được giữ bí mật vì nhóm này hoạt động ẩn danh trên web tối và diễn đàn hacker quốc tế. Tuy nhiên, một số cuộc điều tra hé lộ ShinyHunters có liên hệ với cộng đồng hacker ở châu Á, đặc biệt là Pakistan và Indonesia. Một số chuyên gia an ninh mạng cho rằng một số thành viên ShinyHunters có thể từng tham gia các diễn đàn rao bán dữ liệu ngầm từ khu vực này.
Năm 2021, Séraphin Ranson bị bắt ở Ma Rốc, sau đó dẫn độ về Pháp. Anh bị cáo buộc có liên hệ với ShinyHunters trong các vụ bán dữ liệu đánh cắp, theo báo Le Monde và Cybersecurity News.
Đến năm 2022, cảnh sát Pháp điều tra một số nghi phạm khác có liên quan đến việc ShinyHunters phát tán dữ liệu trên RaidForums.