สรุปสั้น

กลุ่มแฮ็กเกอร์ ShinyHunters ได้โจมตีระบบจัดการเรียนรู้ Canvas LMS ซึ่งพัฒนาโดย Instructure และมีผู้ใช้งานกว่า 30 ล้านคนทั่วโลก การโจมตีครั้งนี้ส่งผลให้ข้อมูลขนาด 3.65 เทราไบต์ถูกขโมยออกไป ประกอบด้วยข้อมูลส่วนบุคคลของนักเรียน อาจารย์ และเจ้าหน้าที่กว่า 275 ล้านรายการจากสถาบันการศึกษาเกือบ 9,000 แห่ง ข้อมูลที่ถูกขโมยรวมถึงชื่อผู้ใช้ อีเมล ชื่อวิชา ข้อมูลการลงทะเบียน และข้อความในระบบ ShinyHunters ยังได้เข้ายึดหน้า login ของ Canvas ที่สถาบันกว่า 330 แห่งเพื่อแสดงข้อความข่มขู่เรียกค่าไถ่ ท้ายที่สุด Instructure ยอมตกลงจ่ายเงินเพื่อแลกกับการลบข้อมูลที่ถูกขโมย โดย ShinyHunters ส่ง shred log ยืนยันการทำลายข้อมูล

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 พฤษภาคม พ.ศ. 2569 ว่า การโจมตีเริ่มต้นจากการที่ ShinyHunters ใช้ประโยชน์จากช่องโหว่ในระบบ support ticket ของ Canvas Free-for-Teacher เพื่อเข้าถึงระบบเบื้องต้น จากนั้นจึงดูดข้อมูลออกไปเป็นจำนวนมหาศาลถึง 3.65 เทราไบต์ เมื่อวันที่ 7 พฤษภาคม 2026 มีการตรวจพบกิจกรรมที่ไม่ได้รับอนุญาตระลอกที่สอง โดยผู้โจมตีเข้ายึดหน้า login ของ Canvas ที่สถาบันประมาณ 330 แห่ง แสดงข้อความเรียกค่าไถ่และตั้งเส้นตายให้ Instructure เจรจาภายในวันที่ 12 พฤษภาคม มิฉะนั้นจะปล่อยข้อมูลทั้งหมด Instructure ตัดสินใจเจรจาและบรรลุข้อตกลงกับ ShinyHunters โดยข้อมูลที่ถูกขโมยได้ถูกส่งคืนพร้อม shred log ยืนยันการทำลาย คณะกรรมการ Homeland Security ของสหรัฐฯ ได้เรียก Instructure เข้าให้การเกี่ยวกับเหตุการณ์นี้แล้ว

วิธีการโจมตี

ShinyHunters ใช้ช่องโหว่ในระบบ support ticket ของ Canvas Free-for-Teacher เป็นจุดเริ่มต้นในการเข้าถึงระบบ เมื่อได้สิทธิ์แล้วจึงเคลื่อนย้ายข้อมูลออกจากฐานข้อมูลหลักของ Canvas ที่เก็บข้อมูลผู้ใช้งานจากทุกสถาบัน การโจมตีระลอกที่สองเป็นการ deface หน้า login portal เพื่อสร้างแรงกดดันให้จ่ายค่าไถ่ รูปแบบการโจมตีนี้เป็นแนวโน้มใหม่ที่กลุ่ม extortion ไม่เข้ารหัสข้อมูลแต่ขโมยออกไปแล้วข่มขู่จะปล่อยแทน

ผลกระทบต่อไทย

สถาบันการศึกษาในประเทศไทยหลายแห่ง โดยเฉพาะมหาวิทยาลัยนานาชาติและโรงเรียนนานาชาติ มีการใช้งาน Canvas LMS เป็นระบบจัดการเรียนรู้หลัก หากสถาบันไทยใดใช้ Canvas แบบ cloud-hosted ก็มีความเสี่ยงที่ข้อมูลของนักศึกษาและบุคลากรอาจรั่วไหลในเหตุการณ์นี้ด้วย นอกจากนี้เหตุการณ์นี้ยังเป็นบทเรียนสำคัญสำหรับสถาบันการศึกษาไทยที่ใช้ระบบ LMS อื่น ๆ ว่าข้อมูลการศึกษาเป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮ็กเกอร์ และต้องมีแผนรับมือกรณีข้อมูลรั่วไหลที่ชัดเจน

คำแนะนำ

  • สถาบันการศึกษาที่ใช้ Canvas LMS ควรตรวจสอบกับ Instructure ว่าข้อมูลของตนได้รับผลกระทบหรือไม่
  • ทบทวนสัญญาและ SLA กับผู้ให้บริการ SaaS/LMS เรื่องการแจ้งเหตุรั่วไหลและความรับผิดชอบ
  • แจ้งผู้ใช้ที่ได้รับผลกระทบตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) หากมีข้อมูลไทยรั่วไหล
  • เปิดใช้ MFA และจำกัดสิทธิ์ support/admin portal ของระบบการศึกษา

แหล่งอ้างอิง