Diễn biến vụ việc. Tin tặc bắt đầu khai thác lỗ hổng từ ngày 29/4/2026 qua tài khoản “Free-For-Teacher”. Đến ngày 7/5, chúng thay đổi trang đăng nhập Canvas bằng thông điệp đòi tiền chuộc (ransomware note).
Tác động: Hàng nghìn trường học và đại học tại Mỹ (Harvard, Princeton, Columbia, Duke, University of Illinois…), Canada, Úc, Anh và nhiều quốc gia khác bị gián đoạn nghiêm trọng, đặc biệt trong tuần thi cuối kỳ. Nhiều trường phải hoãn thi, hoãn nộp bài.
Thông điệp đòi tiền chuộc của ShinyHunters xuất hiện trên trang Canvas của nhiều trường
Dữ liệu bị lộ
Theo Instructure và ShinyHunters xác nhận, dữ liệu bị đánh cắp bao gồm:
Tên, địa chỉ email
Mã số sinh viên/giảng viên
Hàng tỷ tin nhắn riêng tư giữa học sinh – giáo viên
Không bao gồm mật khẩu, ngày sinh, thông tin tài chính hoặc giấy tờ tùy thân.
ShinyHunters đe dọa sẽ công khai toàn bộ dữ liệu nếu không nhận được tiền chuộc trước ngày 12/5/2026.
Màn hình đăng nhập Canvas bị thay bằng thông báo hack
Phản ứng từ các bên
Instructure (công ty mẹ Canvas) đã tạm tắt nền tảng, khắc phục lỗ hổng và khôi phục hầu hết dịch vụ vào ngày 8/5. Họ khẳng định sự cố đã được kiểm soát.
FBI cảnh báo các trường không nên trả tiền chuộc, vì điều này thường khuyến khích tin tặc tiếp tục tấn công.
Nhiều trường đại học đang liên hệ trực tiếp với nhóm hack để đàm phán ngăn chặn việc rò rỉ dữ liệu.
Ý nghĩa lớn hơn
Đây là minh chứng rõ nét cho sự phụ thuộc nguy hiểm của giáo dục toàn cầu vào một vài nền tảng công nghệ lớn. Với hơn 30 triệu người dùng hoạt động hàng ngày, Canvas là “xương sống” của hàng nghìn trường học từ K-12 đến đại học. Cuộc tấn công xảy ra đúng vào thời điểm thi cử càng làm lộ rõ lỗ hổng an ninh trong lĩnh vực edtech.
Cập nhật mới nhất: Canvas đã hoạt động trở lại gần như bình thường, nhưng các chuyên gia khuyến cáo người dùng thay đổi mật khẩu, theo dõi email và cảnh giác với các liên kết lạ.