เมื่อเย็นวันจันทร์ที่ผ่านมา (11 พฤษภาคม 2026) Instructure บริษัทแม่ของแพลตฟอร์มการเรียนรู้ออนไลน์ Canvas ได้ ‘บรรลุข้อตกลง’ กับ ShinyHunters กลุ่มอาชญากรเรียกค่าไถ่ที่เจาะระบบของบริษัทและขู่ว่าจะเปิดเผยข้อมูลสู่สาธาณะ โดยเป็นข้อมูลที่ถูกขโมยไปจากโรงเรียนหลายพันแห่งในสหรัฐฯ รวมถึงมหาวิทยาลัยดุ๊ก
Instructure ระบุว่า พวกเขาได้กู้คืนข้อมูลที่ถูกขโมยไปและได้รับการ ‘ยืนยันการทำลายข้อมูลทางดิจิทัล’ ผ่านบันทึกการทำลายข้อมูล
นอกจากนี้ พวกเขายังระบุด้วยว่า กลุ่ม ShinyHunters ได้แจ้งให้พวกเขาทราบว่า จะไม่มีลูกค้าคนใดถูกเรียกค่าไถ่เพื่อกรรโชกทรัพย์ จากเหตุการณ์ข้อมูลรั่วไหลครั้งนี้ แต่ยังไม่มีความชัดเจนว่า Instructure ได้ให้อะไรหรือสิ่งใดเป็นข้อแลกเปลี่ยนต่อแฮ็กเกอร์กลุ่มนี้หรือไม่
แอลลิสัน นิกสัน ประธานเจ้าหน้าที่ฝ่ายวิจัยจาก Unit 221B ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยในนิวยอร์ก กล่าวว่า บริษัทต่างๆ ไม่ควรจ่ายเงินให้กลุ่ม ShinyHunters เพื่อแลกกับข้อมูลที่ถูกขโมยไป แม้พวกเขาจะข่มขู่ แต่ที่ผ่านมากลุ่มนี้ก็ไม่ได้ปฏิบัติตามข้อตกลงที่ทำไว้เสมอไป
แถลงการณ์ของ Instructure ชี้แจงว่า เมื่อ 3 พฤษภาคม 2026 ShinyHunters อ้างว่าได้เจาะระบบ Instructure และได้ข้อมูลของนักเรียนและครูกว่า 275 ล้านคน ซึ่งประกอบด้วยข้อมูลระบุตัวตนของผู้ใช้บางส่วน เช่น ชื่อ ที่อยู่อีเมล และหมายเลขประจำตัวนักเรียน รวมถึงข้อความระหว่างผู้ใช้ แต่ข้อมูลการเรียนรู้หลักไม่ได้ถูกละเมิด
ด้านสำนักงานรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัยดุ๊ก ยืนยันเมื่อวันที่ 6 พฤษภาคมว่า มหาวิทยาลัยดุ๊กเป็นหนึ่งใน 9,000 สถาบันที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว และได้ส่งอีเมลแจ้งไปยังคณาจารย์และนักศึกษาทุกคน
จากนั้น 7 พฤษภาคม ShinyHunters ได้เจาะระบบ Instructure อีกครั้ง โดยปรากฏบนแดชบอร์ดของผู้ใช้ Canvas และขู่ว่าจะเผยแพร่ ‘ทุกอย่าง’ ภายในวันที่ 12 พฤษภาคม หากบริษัทไม่ดำเนินการใดๆ
หลังมีการบรรลุข้อตกลงกับแฮ็กเกอร์ ตอนนี้ สำนักงานเทคโนโลยีสารสนเทศของมหาวิทยาลัยดุ๊ก (Duke OIT) ได้ลบการแจ้งเตือนจากเหตุการณ์ที่เกี่ยวกับ Canvas ออกไปแล้ว ซึ่งตอนนี้นักศึกษาส่วนใหญ่ไม่ได้ใช้โปรแกรมดังกล่าวมากนัก เนื่องจากอยู่ในช่วงสอบปลายภาคของนักศึกษาปริญญาตรี
Instructure รายงานเพิ่มเติมว่า แฮ็กเกอร์ได้เจาะระบบผ่านช่องโหว่ของเครือข่ายใน ‘Free For Teacher’ บน Canvas ซึ่งตั้งแต่นั้นมา ทางบริษัทได้ระงับการใช้งานเครื่องมือดังกล่าวไปก่อน เพื่อรอการตรวจสอบความปลอดภัยอย่างเต็มรูปแบบ ซึ่งเดิมทีเครื่องมือนี้จะเปิดให้ผู้ใช้งานสามารถสร้างหลักสูตรได้ แม้ว่าสถาบันต้นสังกัดของพวกเขาจะไม่ได้เป็นลูกค้าของ Canvas ก็ตาม
สตีฟ เดลี ซีอีโอของ Instructure ได้ขอโทษผู้ใช้ที่ได้รับผลกระทบจากการถูกละเมิดข้อมูล และกล่าวว่าที่ผ่านมาบริษัท ‘ตัดสินใจผิดพลาด’ ในการเลือกที่จะมุ่งไปที่การค้นหาข้อเท็จจริงมากกว่าการอัปเดตสถานการณ์อย่างสม่ำเสมอ ซึ่งทำลายความไว้วางใจของผู้ใช้บริการต่อโปรแกรมของบริษัท
แต่ตอนนี้มีการเปิด ‘Incident Update page’ บนหน้าเว็บของ Instructure เพื่อรายงานข้อมูลเกี่ยวกับเหตุการณ์ที่กำลังเกิดขึ้นแล้ว เพื่อเรียกคืนความไว้วางใจจากผู้ใช้บริการ
นอกจาก Instructure แล้ว เมื่อต้นฤดูใบไม้ผลิที่ผ่านมา ShinyHunters อ้างว่าเขาได้เจาะระบบของ Infinite Campus ซึ่งเป็นระบบข้อมูลนักเรียนระดับ K-12 และสำนักพิมพ์ McGraw Hill โดย Infinite Campus ปฏิเสธที่จะจ่ายค่าไถ่ที่พวกเขาเรียกร้อง ส่วน McGraw Hill ไม่ได้ให้ข้อมูลต่อสาธารณะว่าพวกเขาได้บรรลุข้อตกลงกับกลุ่มดังกล่าวหรือจ่ายค่าไถ่หรือไม่
นอกจากนั้น ในเดือนตุลาคม แฮ็กเกอร์ยังอ้างว่าเขาได้ขโมยข้อมูลลูกค้ามากกว่าหนึ่งพันล้านรายการจากบริษัทหลายสิบแห่งผ่านการเจาะระบบ Salesforce ซึ่งเป็นผู้ทำสัญญากับ Instructure และ McGraw Hill
