Компания Instructure, разработчик образовательной платформы Canvas, подтвердила утечку данных из-за уязвимостей XSS, которые позволили хакерам из ShinyHunters получить доступ к административным сессиям и модифицировать страницы входа.
Злоумышленники потребовали выкуп, угрожая опубликовать украденные 3,6 ТБ данных, включая информацию 8809 учебных заведений. Instructure временно отключила платформу, устранила уязвимости и восстановила работу к 9 мая.
Хакеры использовали четыре уязвимости нулевого дня, а украденные данные могут содержать имена пользователей, email, курсы и регистрационные данные.