Musim ujian akhir tengah berlangsung di banyak sekolah dan universitas di Amerika Serikat. Namun bagi sebagian mahasiswa dan pengajar, tekanan akademik kini diperparah oleh serangan siber terhadap sistem pembelajaran daring populer yang berpotensi membahayakan data pribadi jutaan penggunanya.
Sejumlah institusi pendidikan melaporkan bahwa Canvas, platform pembelajaran berbasis web milik perusahaan teknologi pendidikan Instructure yang digunakan untuk materi kuliah, tugas, dan nilai, sempat tidak dapat diakses pada Kamis.
Menurut Instructure, Canvas memiliki lebih dari 30 juta pengguna aktif.
Media mahasiswa The Harvard Crimson melaporkan bahwa pada Kamis sore, pengguna yang mencoba mengakses platform tersebut dialihkan ke pesan dari kelompok peretas yang mengidentifikasi diri sebagai ShinyHunters dan mengaku bertanggung jawab atas pembobolan tersebut.
“ShinyHunters telah membobol Instructure (lagi),” demikian bunyi pesan yang dilaporkan muncul, meski menyebut belum dapat memverifikasi pesan itu secara independen.
“Alih-alih menghubungi kami untuk menyelesaikannya, mereka mengabaikan kami dan hanya melakukan ‘patch keamanan.’”
Dalam pernyataan pada Jumat, Instructure mengatakan bahwa “demi kehati-hatian,” mereka sementara menonaktifkan Canvas untuk membatasi akses dan melakukan investigasi lebih lanjut.
“Kami telah mengonfirmasi bahwa pelaku tidak sah mengeksploitasi celah yang terkait dengan akun Free-For-Teacher kami,” demikian pernyataan perusahaan.
“Sebagai akibatnya, kami mengambil keputusan sulit untuk sementara menutup akun Free-For-Teacher. Langkah ini memberi kami keyakinan untuk memulihkan akses Canvas, yang kini sepenuhnya kembali online dan dapat digunakan.”
Pesan dari para peretas itu juga disebut menyertakan tautan menuju file teks berisi daftar sekolah yang diklaim terdampak pembobolan data. Mereka memperingatkan bahwa pihak yang ingin mencegah data mereka dibocorkan harus menghubungi kelompok tersebut untuk mencapai kesepakatan.
“Anda punya waktu sampai akhir hari pada 12 Mei 2026 sebelum semuanya dibocorkan,” tulis ancaman itu.
Instructure sebelumnya menyatakan pada Kamis malam bahwa Canvas “sudah tersedia bagi sebagian besar pengguna,” sementara platform Canvas Beta dan Canvas Test masih dalam tahap pemeliharaan, beberapa jam setelah seluruh layanan ditempatkan dalam “maintenance mode.”
Platform pemantauan intelijen ancaman Ransomware.live juga mengunggah salinan surat tebusan sebelumnya dari ShinyHunters kepada Canvas pada 3 Mei. Dalam surat itu, kelompok peretas mengklaim memiliki data 275 juta individu dari hampir 9.000 sekolah.
“Ini adalah peringatan terakhir untuk menghubungi kami sebelum 6 Mei 2026 sebelum kami membocorkannya bersama beberapa masalah digital yang akan mengganggu Anda,” demikian isi ancaman tersebut.
Pada 1 Mei, Instructure mengungkap bahwa mereka mengalami “insiden keamanan siber yang dilakukan oleh pelaku ancaman kriminal.” Sehari kemudian, perusahaan mengatakan situasi telah “dikendalikan,” tetapi mengakui bahwa nama, alamat email, nomor identitas siswa, dan pesan antar pengguna kemungkinan termasuk data yang dicuri.
Kampus dan Sekolah yang Terdampak
Sejumlah institusi pendidikan tinggi di seluruh AS, termasuk Harvard, mengalami gangguan besar akibat serangan tersebut dan kini berupaya mencari solusi darurat.
Beberapa universitas bahkan membatalkan ujian dan tenggat tugas, termasuk Penn State, University of Illinois, dan James Madison University di Virginia.
Universitas Columbia mengatakan pihaknya “secara aktif bekerja sama dengan fakultas untuk meminimalkan gangguan akademik, menciptakan mekanisme alternatif untuk mempersiapkan dan melaksanakan ujian, serta memberikan fleksibilitas yang sesuai selama periode ini.”
Selain memberikan kelonggaran akademik, universitas juga memperingatkan pengguna agar lebih waspada.
Universitas Georgetown meminta mahasiswa dan staf berhati-hati terhadap email atau pesan mencurigakan yang tampak berasal dari Canvas, terutama yang meminta informasi login atau data pribadi.
Pengguna di University of Michigan diminta segera keluar dari platform Canvas “demi kehati-hatian ekstra.”
Sementara itu, University of California mengatakan seluruh kampusnya diperintahkan untuk sementara memblokir atau mengalihkan akses Canvas dan tidak akan memulihkannya “hingga yakin sistem benar-benar aman.”
Institusi lain yang melaporkan gangguan serupa meliputi University of Chicago, Baylor University di Texas, dan University of Maryland.
Siapa ShinyHunters?
ShinyHunters mengaku bertanggung jawab atas serangan terbaru terhadap Instructure, serta serangan serupa yang terjadi awal bulan ini.
Luke Connolly, analis intelijen ancaman dari perusahaan keamanan siber Emsisoft, mengatakan kepada Associated Press bahwa ShinyHunters merupakan kelompok longgar berisi remaja dan dewasa muda yang berbasis di AS dan Inggris.
Kelompok itu diyakini terbentuk pada 2020 dan pernah terlibat dalam sejumlah kasus peretasan besar.
Pada 2024, pemilik Ticketmaster, Live Nation, mengonfirmasi adanya “aktivitas tidak sah” dalam basis datanya setelah ShinyHunters mengklaim telah mencuri data pribadi 560 juta pelanggan, termasuk nomor telepon dan sebagian data kartu kredit.
Pada tahun yang sama, Departemen Kehakiman AS mengumumkan bahwa warga negara Prancis berusia 22 tahun, Sebastien Raoult — yang diduga anggota ShinyHunters — dijatuhi hukuman tiga tahun penjara dan diwajibkan membayar lebih dari US$5 juta.
Departemen Kehakiman menyebut ShinyHunters sebagai “kelompok peretas internasional terkenal.” Raoult dan rekan-rekannya disebut meretas perusahaan untuk mencuri informasi rahasia dan data pelanggan guna meminta tebusan atau menjualnya di dark web.
