Взлом Canvas доказал: одной профилактики уже недостаточно

Автор: Риши Каушал, CIO компании Entrust | 18 мая 2026 года

В начале мая группировка ShinyHunters дважды за одну неделю взломала платформу Canvas компании Instructure — похитив 3,65 ТБ данных примерно 275 миллионов пользователей из более чем 8 000 учебных заведений. Хакеры осквернили страницы входа в сотнях школ в разгар сессии, вынудили Canvas уйти в офлайн и получили выкуп — после чего Конгресс США открыл официальное расследование.

При этом атака не потребовала экзотических инструментов или уязвимостей нулевого дня. Злоумышленники вошли через скомпрометированные аккаунты раздела «Free-For-Teacher», стремительно расширили привилегии и похитили данные в масштабах, с которыми Instructure не успела справиться.

Стандартный сценарий атак 2026 года

Схема, применённая при взломе Canvas, стала типовым сценарием:

• проникновение через слабые механизмы контроля учётных записей
• стремительное горизонтальное перемещение по инфраструктуре
• массовая кража данных до обнаружения атаки
• вымогательство и disruption операций

Этот сценарий повторится снова — если организации не начнут заранее сокращать радиус поражения от каждого возможного вторжения.

Проблема в том, как компании оценивают риски SaaS

Современные организации сосредоточили критически важные операции внутри общих SaaS-платформ, создав огромную концентрацию риска в единой точке отказа. Когда Canvas отключился, тысячи студентов потеряли доступ к учебным материалам, а преподаватели — связь со своими группами. Масштаб последствий определялся не сложностью уязвимости, а глубиной зависимости от платформы.

Большинство корпоративных систем безопасности по-прежнему рассматривают SaaS-платформы преимущественно как проблему доступности. Canvas обнажил изъян в этом подходе: доступность ничего не значит, если данные уже украдены.

«Устойчивость в SaaS-среде требует более жёсткого и честного допущения: относитесь к компрометации как к постоянному и ожидаемому событию. Атакующие доберутся до критических систем. Реальный вопрос — сколько они смогут взять, как далеко продвинуться и как долго оставаться незамеченными.»

— Риши Каушал

Идентификация — это новый периметр

Скомпрометировав легитимные аккаунты с избыточными привилегиями, злоумышленники беспрепятственно перемещались по инфраструктуре Canvas. Слабый контроль идентификации — самая надёжная точка входа для атакующих в современных организациях.

Надёжные пароли и двухфакторная аутентификация необходимы, но уже недостаточны. Организациям нужны:

• непрерывная верификация идентификации
• строго ограниченные привилегии
• жёсткий контроль над интеграциями сторонних сервисов
• мониторинг аномальных паттернов доступа в реальном времени

Защита данных не может ограничиваться уровнем приложения

Данные внутри SaaS-платформ зачастую защищены значительно слабее, чем учётные данные для доступа к ним. Когда контроли доступа дают сбой — как это произошло с Canvas — данные становятся немедленно доступными, удобными для поиска и монетизации. Атакующим не нужно ничего взламывать. Они просто забирают данные.

Криптографическая защита — включая шифрование, сохраняющее контроль организации над данными даже после их утечки — напрямую снижает ценность успешной кражи. Украденные данные, которые невозможно прочитать, теряют силу как инструмент шантажа.

Угроза не исчезает после завершения инцидента

Глава Instructure вызван для дачи показаний в Комитет по внутренней безопасности Палаты представителей. Учебные заведения, не имевшие никакого представления о состоянии безопасности платформы, по-прежнему несут ответственность за защиту данных студентов, которые они уже не контролируют.

Более того, злоумышленники всё активнее применяют подход «собери сейчас, расшифруй потом» — собирая зашифрованные данные в расчёте на то, что по мере старения криптографических стандартов или развития квантовых вычислений их удастся расшифровать в будущем. Это означает, что любые украденные данные могут оставаться целью на протяжении многих лет.

Что реально требует взлом Canvas

Урок Canvas не в том, что SaaS-платформы небезопасны по своей природе. Урок в том, что прежние допущения корпоративной безопасности устарели: профилактика как главная цель, контроль доступа как достаточная защита данных, восстановление как синоним возобновления работы.

«Атакующие уже усвоили этот урок. Они атакуют SaaS-платформы именно потому, что концентрация данных и операционная зависимость делают их исключительно ценными мишенями. Единственная переменная — во сколько это обойдётся.»

— Риши Каушал, CIO компании Entrust

Вывод: организации, которые выстроят управление идентификацией как критическую инфраструктуру, внедрят криптографическую защиту, переживающую утечку, и подготовятся к постквантовым угрозам — окажутся в значительно более выгодном положении, когда произойдёт следующий взлом. А он произойдёт.