Canvas İhlali Sonrası Eğitim Sektörüne Yönelik CMC Raporu

Ne Oldu

Birleşik Krallık'ın siber tehditleri izlemekle görevli kurumu Siber Gözlem Merkezi (CMC), küresel eğitim teknolojisi firması Instructure tarafından geliştirilen ve yaygın olarak kullanılan Öğrenim Yönetim Sistemi (LMS) Canvas'ı hedef alan siber saldırıya ilişkin kapsamlı analizini kamuoyuyla paylaştı. Bu rapor, Instructure'ın kendi bulgularını önümüzdeki hafta açıklamaya hazırlanırken, eğitim sektörüne yönelik erken bir uyarı ve rehberlik niteliği taşıyor.

CMC tarafından yapılan değerlendirme, saldırının boyutlarının ne kadar geniş olduğunu gözler önüne seriyor. Rapora göre, dünya genelinde yaklaşık 9000 eğitim kurumu bu olaydan etkilenmiş durumda. Sadece Birleşik Krallık özelinde ise, yaklaşık 160 yükseköğretim kurumunun saldırıdan etkilendiği belirtiliyor. Bu rakamlar, saldırının tek bir ülkeyle sınırlı kalmadığını, küresel bir eğitim altyapısı krizine işaret ettiğini gösteriyor.

Kurumun analizinde dikkat çeken bir diğer nokta ise, olayın CMC'nin siber olay sınıflandırma ölçeğindeki yeri oldu. CMC, bir siber saldırıyı en üst seviye olan 'Kategori 1' olarak sınıflandırmak için 10 milyon sterlin (yaklaşık 13 milyon dolar) üzerinde bir mali kayıp veya Birleşik Krallık'taki kuruluşların %0.01'inden fazlasını etkilemesi gibi eşikleri baz alıyor. Canvas olayı, geniş çaplı etkisine rağmen bu minimum eşikleri karşılamadığı için 'Kategori 1' olarak sınıflandırılmadı. Bu durum, saldırının doğrudan finansal etkisinin, yarattığı veri güvenliği riskine kıyasla daha sınırlı kalmış olabileceğini düşündürüyor. Karşılaştırma yapmak gerekirse, 2025 yılında Jaguar Land Rover'a yapılan ve tedarik zincirinde ciddi aksamalara yol açan siber saldırı, CMC'nin beş puanlık ölçeğinde 'Kategori 3' sistemik bir olay olarak derecelendirilmişti. Bu örnek, CMC'nin olayları sadece etkilenen kurum sayısıyla değil, aynı zamanda ekonomi ve kritik altyapılar üzerindeki zincirleme etkileriyle de değerlendirdiğini gösteriyor.

CMC, bu incelemenin birden fazla amaca hizmet ettiğini vurguluyor. İlk olarak, veri ihlali olaylarının finansal etkilerini daha iyi anlamak ve bu tür olayların geleneksel iş kesintisi odaklı saldırılardan nasıl farklılaştığını modellemek hedefleniyor. İkinci olarak, bu analiz CMC'nin kendi veri ihlali analiz modelinin geliştirilmesine katkı sağlayacak. Son olarak ise, Birleşik Krallık yükseköğretim sektöründeki siber risk ortamına dair daha derinlemesine bir içgörü elde edilmesi amaçlanıyor.

Ele Geçirilen Veriler

CMC'nin raporuna göre, saldırganlar tarafından sızdırılan veriler oldukça hassas nitelikte. Tehdit aktörlerinin, hedeflerindeki kurumlardan "gizli ders ve kullanıcı verilerini" başarıyla dışarı sızdırdığı (exfiltrasyon) teyit edildi. Bu ifade, ihlalin ciddiyetini ortaya koyan en kritik detaylardan birini oluşturuyor.

Kullanıcı verileri, genellikle kişisel olarak tanımlanabilir bilgileri (PII) içerir. Bu, öğrencilerin, öğretim görevlilerinin ve idari personelin adlarını, soyadlarını, e-posta adreslerini, öğrenci veya personel numaralarını ve potansiyel olarak şifrelerini içerebilir. Bu tür verilerin sızdırılması, kimlik avı (phishing) saldırıları için bir zemin hazırlar. Saldırganlar, ele geçirdikleri meşru bilgilerle kurbanlarını kandırarak daha fazla bilgi veya finansal kazanç elde etmeye çalışabilir. Ayrıca, bu veriler kimlik hırsızlığı gibi daha ciddi suçlar için de kullanılabilir.

Gizli ders verileri ise akademik bütünlük ve kurumsal fikri mülkiyet açısından büyük bir risk teşkil ediyor. Bu kategoriye, henüz yayınlanmamış araştırma materyalleri, sınav soruları ve cevapları, ders notları, projeler ve öğrencilerin not dökümleri gibi bilgiler girebilir. Bu tür verilerin sızdırılması, akademik sahtekarlığa yol açabileceği gibi, kurumların yıllar süren çalışmalarıyla oluşturduğu özgün eğitim materyallerinin ve entelektüel birikiminin de çalınması anlamına gelir. Bu durum, kurumların rekabet avantajını ve itibarını doğrudan zedeler.

CMC raporunda, sızdırılan verilerin tam hacmi ve içeriği hakkında henüz detaylı bir döküm sunulmadı. Ancak "gizli" ve "kullanıcı/ders" verileri ifadeleri, olayın basit bir erişim ihlalinden çok daha öteye geçtiğini ve ciddi sonuçlar doğurma potansiyeli taşıdığını açıkça gösteriyor.

Saldırı Nasıl Gerçekleşti

Kaynak metinde yer alan bilgilere göre, saldırı çok aşamalı bir süreç izledi. Olaylar zinciri, Instructure'ın güvenlik ekiplerinin 29 Nisan'da Canvas sistemlerinde "yetkisiz bir aktivite" tespit etmesiyle başladı. Bu ilk tespit, saldırganların sisteme bir şekilde sızmayı başardığını gösteren ilk alarm zilleriydi.

Ancak saldırganlar bu ilk erişimle yetinmedi. Yaklaşık bir hafta sonra, 7 Mayıs 2026'da, aynı tehdit aktörü, Canvas sistemindeki ikinci bir güvenlik açığından faydalanarak ek erişim elde etti. Bu durum, saldırganların sistem içinde kalıcı olmayı ve yetkilerini artırmayı hedeflediğini gösteriyor. İlk sızmanın ardından yanal hareketlerle veya farklı zafiyetleri kullanarak daha derinlere inmeyi başarmaları, saldırının planlı ve sofistike bir yapıya sahip olduğunun bir kanıtı. Saldırının teknik ayrıntıları, kullanılan zafiyetlerin CVE kodları veya istismar yöntemleri henüz kamuoyu ile paylaşılmadı.

Saldırının en somut etkilerinden biri ise kullanıcı arayüzünde yapılan manipülasyon oldu. Raporda, yetkisiz aktörün "bazı öğrenciler ve öğretmenler oturum açtığında görünen sayfalarda değişiklikler yaptığı" belirtiliyor. Bu, tipik bir veri hırsızlığı saldırısından farklı olarak, kullanıcı deneyimini doğrudan hedef alan aktif bir müdahaleye işaret ediyor. Bu tür değişiklikler, genellikle kullanıcıları sahte sitelere yönlendirmek, kimlik bilgilerini çalmak için tasarlanmış oltalama formları sunmak veya kullanıcıların cihazlarına kötü amaçlı yazılım indirmelerini sağlamak gibi amaçlar taşır. Bu yöntem, saldırganların sadece veri çalmakla kalmayıp, aynı zamanda platformun güvenilirliğini de baltalamayı amaçladığını gösteriyor.

Instructure, saldırıyı gerçekleştiren grubun "teknoloji ve eğitim de dahil olmak üzere birçok sektörde büyük ölçekli saldırılarla tanınan bir siber suç örgütü" olduğunu belirtti. Bu tanım, saldırının arkasında finansal motivasyonu yüksek, organize ve tecrübeli bir grubun olduğunu düşündürüyor.

Etkilenenler Kim

Saldırının coğrafi ve kurumsal yayılımı oldukça geniş. CMC'nin verilerine göre dünya çapında yaklaşık 9000 eğitim kurumu bu siber olaydan doğrudan veya dolaylı olarak etkilendi. Bu kurumlar arasında üniversiteler, kolejler, liseler ve diğer eğitim sağlayıcıları bulunuyor. Birleşik Krallık özelinde ise, aralarında ülkenin önde gelen üniversitelerinin de bulunabileceği yaklaşık 160 yükseköğretim kurumunun etkilendiği raporlandı.

Bu rakamlar, saldırının sadece birkaç kurumu hedef alan izole bir olay olmadığını, aksine eğitim sektörünün dijital altyapısının temel taşlarından birini hedef alan sistemik bir saldırı olduğunu gösteriyor. Canvas gibi merkezi bir platformun hedef alınması, tek bir güvenlik açığının binlerce kurumu ve milyonlarca son kullanıcıyı (öğrenciler, akademisyenler, idari personel) aynı anda riske atabildiğini kanıtlıyor. Bu durum, tedarik zinciri saldırılarının eğitim sektöründeki yıkıcı potansiyelini de bir kez daha ortaya koyuyor.

Ne Yapabilirsin

Bu tür bir veri ihlali sonrasında hem bireysel kullanıcıların hem de kurumların alabileceği bazı önemli önlemler bulunmaktadır:

• Parolanızı Değiştirin: Etkilenen kurumlardaki tüm öğrencilerin ve personelin Canvas parolalarını derhal değiştirmesi önerilir. Eğer aynı parola başka platformlarda da kullanılıyorsa, güvenlik zincirinin kırılmaması için o platformlardaki parolaların da değiştirilmesi kritik öneme sahiptir.
• Oltalama Saldırılarına Karşı Dikkatli Olun: Saldırganlar, ele geçirdikleri kişisel bilgileri kullanarak size özel ve son derece inandırıcı oltalama (phishing) e-postaları gönderebilir. Üniversitenizden veya Canvas'tan geliyormuş gibi görünen, acil parola değişikliği veya bilgi güncellemesi talep eden e-postalara karşı şüpheci yaklaşın. Asla şüpheli linklere tıklamayın veya ekleri indirmeyin.
• Hesap Hareketlerinizi Kontrol Edin: Canvas hesabınızda veya bağlantılı diğer hesaplarınızda olağandışı bir aktivite olup olmadığını düzenli olarak kontrol edin. Bilginiz dışında yapılmış bir değişiklik fark ederseniz derhal kurumunuzun bilgi işlem departmanına bildirin.
• Kurumsal İletişimi Takip Edin: Eğitim kurumunuzun bu olayla ilgili yapacağı resmi duyuruları ve yönlendirmeleri dikkatle takip edin. Kurumunuz, almanız gereken ek önlemler hakkında size bilgi verecektir.

Şirket Ne Diyor

Canvas'ın geliştiricisi Instructure, olayla ilgili ilk tespitlerini ve duruşunu net bir şekilde ortaya koydu. Şirket, 29 Nisan'da sistemlerindeki yetkisiz aktiviteyi ilk tespit eden taraf oldu ve olayın arkasında birden fazla sektörü hedef alan büyük ölçekli saldırılarıyla bilinen bir siber suç örgütünün olduğunu doğruladı.

CMC'nin raporu, olayın finansal boyutuna ilişkin ilginç bir tespiti de içeriyor. Rapora göre, bu veri ihlali olayının mali profili, büyük ölçekli hizmet kesintisi olaylarından farklılık gösteriyor. CMC, "Bu vakada, kayıpların uzun süreli iş kesintisinden ziyade müdahale, kurtarma ve risk yönetimi faaliyetlerinden kaynaklandığı görülüyor" ifadesini kullandı. Bu, Canvas platformunun uzun süre çevrimdışı kalmadığı, ancak ihlalin ardından yapılan adli bilişim analizleri, güvenlik altyapısının güçlendirilmesi, yasal danışmanlık, müşteri bildirimleri ve itibar yönetimi gibi faaliyetlerin ciddi bir maliyet oluşturduğu anlamına geliyor. Bu durum, günümüz siber saldırılarında asıl mali yükün her zaman sistemin kapalı kalmasından kaynaklanmadığını, veri sızıntısının dolaylı maliyetlerinin de çok yüksek olabildiğini gösteriyor.

Instructure'ın önümüzdeki hafta kendi bulgularını içeren daha detaylı bir rapor yayınlaması bekleniyor. Bu raporun, saldırının teknik kök nedenleri, etkilenen veri türlerinin tam listesi ve gelecekte benzer olayların önlenmesi için alınacak tedbirler hakkında daha fazla netlik sağlaması umuluyor.

Kaynak

https://www.infosecurity-magazine.com/news/cmc-analysis-education-canvas-data/