Nhóm tội phạm mạng ShinyHunters tấn công nền tảng học trực tuyến Canvas hôm thứ Năm, đúng lúc hàng triệu sinh viên Mỹ đang bước vào kỳ thi cuối khóa. Công ty mẹ Instructure xác nhận đã tạm thời đóng hệ thống sau khi phát hiện hoạt động trái phép, và đến sáng thứ Sáu nền tảng mới hoạt động trở lại. ShinyHunters tuyên bố đã lấy được dữ liệu của 275 triệu người từ 8.800 trường học — bao gồm tên đăng nhập, địa chỉ email, mã số sinh viên và tin nhắn nội bộ. Instructure cho biết mật khẩu và thông tin tài chính chưa bị lộ. Trang đăng nhập Canvas hiển thị thông báo đòi tiền chuộc, khuyến khích các trường tự thương lượng với nhóm hacker. Đại học Illinois hoãn toàn bộ thi cuối khóa cuối tuần, Đại học Massachusetts Dartmouth gia hạn nộp bài. Đây không phải vụ đầu tiên — năm ngoái, PowerSchool bị tấn công, làm lộ dữ liệu của 60 triệu học sinh từ 16.000 trường K–12 trên toàn thế giới.
Trang đăng nhập Canvas hiển thị thông báo đòi tiền chuộc, khuyến khích các trường tự thương lượng với nhóm hacker.
Phân Tích
Vụ tấn công Canvas phơi bày một lỗ hổng có tính cấu trúc: ngành giáo dục Mỹ đã tập trung quá mức vào một vài nền tảng độc quyền mà không có kế hoạch dự phòng khi hệ thống sụp đổ. Canvas chiếm thị phần áp đảo tại các trường đại học lớn — khi nó bị đánh sập, không có phương án thay thế tức thì nào đủ sức gánh đỡ cả một hệ thống.
ShinyHunters không phải tên mới. Năm 2024, nhóm này đã khai thác lỗ hổng từ Snowflake để tấn công dây chuyền vào TicketMaster và nhiều công ty khác — một chiến thuật gọi là tấn công chuỗi cung ứng (supply chain attack), tức là nhắm vào nhà cung cấp hạ tầng để từ đó tiếp cận hàng loạt khách hàng phụ thuộc vào nó. Vụ PowerSchool năm ngoái — lộ dữ liệu 60 triệu học sinh — đã là cảnh báo rõ ràng, nhưng các trường học vẫn chưa có phản ứng đủ mạnh về bảo mật.
Cú đánh vào Canvas giữa mùa thi là đòn tâm lý tính toán kỹ: trường nào cũng đang dưới áp lực, xác suất chấp nhận đàm phán cao hơn bất kỳ thời điểm nào trong năm. Đây là chiến thuật cưỡng bức có chủ đích, không phải cơ hội ngẫu nhiên. Nếu Quốc hội Mỹ không đặt ra tiêu chuẩn bảo mật bắt buộc cho các nền tảng phục vụ giáo dục công, vòng lặp này sẽ tiếp tục.
Tác Động Cộng Đồng
Hai nhóm trong cộng đồng gốc Việt chịu tác động trực tiếp từ vụ này.
Thứ nhất, sinh viên diện OPT và STEM OPT — phần lớn đang theo học tại các trường đại học lớn như University of Illinois hay hệ thống UC — phụ thuộc vào Canvas để nộp bài và thi cuối khóa đúng hạn. Với nhóm này, một kỳ thi bị trễ hoặc điểm không hoàn chỉnh có thể ảnh hưởng trực tiếp đến tình trạng visa, vì OPT yêu cầu duy trì tiến độ học tập hợp lệ. Bất kỳ gián đoạn nào trong học bạ đều cần được trường xác nhận rõ ràng để tránh rủi ro pháp lý với USCIS.
Thứ hai, dữ liệu bị lộ — tên, email, mã số sinh viên — là nguyên liệu cho các vụ lừa đảo nhắm vào sinh viên quốc tế. Cộng đồng sinh viên gốc Việt tại các cụm đại học ở California, Texas và Illinois nên lập tức kiểm tra tài khoản và cảnh giác với email giả mạo trường trong vài tuần tới.