Công ty Mỹ Instructure điều hành nền tảng giáo dục trực tuyến nổi tiếng Canvas đã bị tin tặc xâm nhập vào đầu tháng năm, với khoảng 270 triệu tài khoản người dùng toàn cầu bị đánh cắp thông tin cá nhân. Nhóm tin tặc tự xưng "ShinyHunters" (Thợ săn lấp lánh) đã gửi thư đe dọa đến công ty và các trường đại học sử dụng nền tảng này, yêu cầu nộp tiền chuộc trước ngày 12 tháng 5, nếu không sẽ công khai dữ liệu bị lấy cắp. Cuối cùng, Instructure đã quyết định chuyển tiền chuộc trước hạn chót và nhóm tin tặc cam kết sẽ xóa sạch dữ liệu, kết thúc vụ việc tạm thời. Tuy nhiên, sự cố này một lần nữa bóc lộ những rủi ro an ninh mang tính hệ thống mà thế giới giáo dục phải đối mặt khi số hóa và tập trung hóa dịch vụ.
Canvas là một nền tảng trực tuyến dành cho các trường học, khác với công ty vẽ đồ họa Canva của Úc mặc dù tên gọi tương tự nhưng chức năng hoàn toàn khác. Giáo viên và quản lý khóa học có thể sử dụng Canvas để đăng bài tập, tài liệu lớp học, trong khi sinh viên sử dụng nền tảng này để xem nội dung khóa học, nộp bài tập, truy cập thư viện trường, nghe bài giảng từ xa, thảo luận nhóm và hỏi đáp với giảng viên. Theo báo cáo, toàn cầu có khoảng 9.000 trường học, đại học và tổ chức giáo dục sử dụng Canvas, bao gồm các trường danh tiếng như Harvard và Đại học Princeton. Thông tin bị đánh cắp lần này bao gồm số sinh viên, địa chỉ email, thông tin đăng ký và tin nhắn trò chuyện.
Ngày 12 tháng 5, Instructure phát hành tuyên bố trên trang web, xác nhận đã đạt thỏa thuận với nhóm tin tặc ShinyHunters để thanh toán tiền chuộc để đổi lấy việc xóa dữ liệu người dùng bị lấy cắp. Theo báo chí Úc "Sydney Morning Herald", nhóm này yêu cầu Instructure nộp tiền chuộc 10 triệu đô la Mỹ, nhưng Instructure không công khai xác nhận số tiền chính xác.
Với số lượng vụ tấn công mạng của tin tặc gia tăng trong những năm gần đây, các cơ quan an ninh mạng của chính phủ các nước Anh, Mỹ, Úc đã đưa ra hướng dẫn không khuyến khích các công ty bị tấn công thanh toán tiền chuộc cho tin tặc. Tuy nhiên, trong sự cố này, Instructure quyết định nộp tiền chuộc, khiến nhiều chuyên gia an ninh mạng toàn cầu lo ngại rằng cách làm này sẽ khuyến khích các nhóm tin tặc thực hiện những hành động tương tự.
Mặt khác, mặc dù Instructure nhiều lần nhấn mạnh đã nhận được xác nhận từ tin tặc về việc xóa toàn bộ dữ liệu bị lấy cắp, nhưng các chuyên viên bảo vệ quyền riêng tư và tổ chức giáo dục ở các nước vẫn phát hành cảnh báo cho sinh viên và nhân viên. Ví dụ, Văn phòng Chuyên viên Bảo vệ Dữ liệu Cá nhân Hong Kong khuyến cáo những người bị ảnh hưởng bởi sự cố Canvas cần cảnh báo cao độ khi nhận được email, cuộc gọi hoặc tin nhắn từ nguồn không rõ.
Theo tuyên bố của ShinyHunters, họ đã tiến hành hai cuộc tấn công tin tặc nhằm vào Instructure trong năm nay. Cuộc tấn công đầu tiên vào ngày 29 tháng 4, khi đó Instructure cũng đã thông báo công ty gặp phải sự cố an ninh mạng nhưng khẳng định sự cố đã được "kiểm soát". Tuy nhiên, theo CNN đưa tin, vào hôm sau khi công bố tuyên bố, một số thông tin danh tính bị đánh cắp đã rò rỉ trên mạng.
Vào ngày 7 tháng 5, ShinyHunters tiến hành cuộc tấn công thứ hai nhằm vào Instructure. Khi người dùng đăng nhập nền tảng Canvas, họ nhận được một thông báo từ tin tặc. Thông báo chỉ ra rằng Instructure đã bỏ qua yêu cầu trước đó của nhóm tin tặc và chỉ thực hiện một số "bản vá bảo mật", do đó nhóm này quyết định tấn công Instructure lần thứ hai và công khai thông tin, yêu cầu Instructure và các tổ chức bị ảnh hưởng phải nộp tiền chuộc trước ngày 12 tháng 5, nếu không sẽ công khai toàn bộ thông tin. Theo BBC đưa tin, ShinyHunters tuyên bố đã tiến hành thêm hai cuộc tấn công nhằm vào Instructure vào đầu tháng 4 năm 2025 và 2026.
Trong những năm gần đây, số lượng vụ tấn công mạng của tin tặc nhằm vào doanh nghiệp gia tăng. Công ty phân tích công nghệ Comparitech thống kê các sự cố rò rỉ dữ liệu do các nhóm tin tặc gây ra trong năm 2025, những cuộc tấn công tin tặc có mục đích tống tiền đã ghi nhận 4.719 vụ trên toàn cầu, tăng 32% so với năm 2024. Trong đó, đối tượng bị tấn công chủ yếu là các doanh nghiệp với hơn 6.200 vụ, tiếp theo là các cơ quan chính phủ (374 vụ), sau đó là y tế (444 vụ) và giáo dục (252 vụ).
Tuy nhiên, chỉ có một phần bảy số tổ chức bị ảnh hưởng công khai thừa nhận bị tin tặc tấn công. Trong những trường hợp này, gần 59,2 triệu bản dữ liệu bị rò rỉ. Trong tất cả các trường hợp, ngành sản xuất chịu tác động nặng nhất từ tống tiền tin tặc, không chỉ số vụ tấn công tăng 95%, mà tiền chuộc cũng tăng từ mức cao nhất 500.000 đô la Mỹ năm 2024 lên 1,2 triệu đô la Mỹ năm 2025.
Báo cáo cũng chỉ ra rằng trong hơn 4.000 vụ tấn công, nhóm Qilin có bối cảnh Nga, đã từng nhắm vào nhiều công ty Đài Loan, đứng đầu về số vụ tấn công tin tặc năm 2025 với ít nhất hơn 1.030 vụ. Các tổ chức Mỹ chịu tác động nặng nhất từ tống tiền tin tặc (3.810 vụ), tiếp theo là Canada (392 vụ), Đức (303 vụ), Anh (251 vụ) và Pháp (178 vụ). Hàn Quốc là quốc gia có tỷ lệ gia tăng vụ tấn công lớn nhất, từ chỉ 10 vụ năm 2024 lên 64 vụ năm 2025.
Con số được ghi nhận trong báo cáo này có thể chỉ là phần nổi của tảng băng chìm. Từ tháng 7 năm 2024 đến tháng 6 năm 2025, cơ quan an ninh mạng ReportCyber của chính phủ Úc nhận được hơn 84.000 báo cáo tội phạm mạng, trong đó 11% liên quan đến tống tiền. Tuy nhiên, Úc cũng mới bắt đầu yêu cầu từ tháng 5 năm 2025 những doanh nghiệp có dòng tiền vượt quá 3 triệu đô la Úc phải báo cáo sự cố an ninh mạng, cho thấy có thể nhiều vụ tấn công mạng đã trở thành số liệu kín.
Trong vụ Canvas này, công ty mẹ Instructure quyết định nộp tiền chuộc cho nhóm tin tặc, một quyết định khác với hướng dẫn của các cơ quan an ninh chính phủ ở các quốc gia. Nhiều chuyên gia an ninh mạng cho rằng không nộp tiền chuộc có thể giảm thiểu tối đa lợi ích của cuộc tấn công tin tặc, trong khi cách làm của Instructure có thể khiến công ty trở thành mục tiêu của các nhóm tin tặc khác.
Đối mặt với tình hình gia tăng số vụ tống tiền tin tặc, vào năm 2023, dưới sự dẫn dắt của Mỹ, hơn 40 quốc gia chính phủ đã phát hành tuyên bố chung phản đối việc nộp tiền chuộc cho các nhóm tin tặc. Ngoài ra, chính phủ Anh đang nghiên cứu lập pháp cấm các doanh nghiệp nộp tiền chuộc, trong khi chính phủ Úc cũng quy định từ năm 2025 trở đi, nếu doanh nghiệp chọn nộp tiền chuộc phải phải báo cáo với chính phủ.
Các doanh nghiệp nộp tiền chuộc cho tin tặc thường là vì lo ngại dữ liệu người dùng sẽ bị rò rỉ. Tuy nhiên, theo BBC đưa tin, cảnh sát Anh từng xâm nhập vào một nhóm tác phạm tống tiền mạng, phát hiện ra rằng sau khi nhận tiền chuộc, nhóm này không xóa dữ liệu bị lấy cắp như đã hứa. Mặc dù sự cố Canvas hiện đã tạm kết thúc, nhưng chính phủ các nước và các tổ chức giáo dục vẫn tiếp tục theo dõi sát sao tình hình rò rỉ dữ liệu người dùng, đồng thời kêu gọi sinh viên và nhân viên bị ảnh hưởng nâng cao cảnh báo, khi phát hiện nhận được thông tin đáng ngờ phải báo cáo ngay cho các tổ chức liên quan.
