Tam sınav haftasında Canvas neden çöktü?

Mayıs 2026'da ne oldu?

Canvas, yükseköğretimden K-12'ye kadar pek çok kurumun ders, ödev ve iletişim için bel bağladığı bir LMS (öğrenme yönetim sistemi). Arkasındaki şirket Instructure, 25 Nisan 2026'da sistemlerine yetkisiz bir erişim olduğunu birkaç gün sonra, 29 Nisan'da fark etti; erişimi kesip bağımsız adli bilişim ekipleriyle çalışmaya başladı ve 5 Mayıs'ta etkilenen okullara bildirim gönderdi.

İşin kamuoyuna patlaması ise 7 Mayıs'ta oldu. Olayı üstlenen ShinyHunters grubu, aralarında Harvard, Princeton ve Pennsylvania Üniversitesi'nin de bulunduğu yaklaşık 330 kurumun Canvas giriş sayfalarını ele geçirdi. Zamanlama tesadüf değildi: tam dönem sonu sınav haftasıydı. Instructure, Canvas'ı ve test ortamlarını çevrimdışı aldı, açığa neden olan Free-For-Teacher (ücretsiz öğretmen) hesap programını kalıcı olarak kapattı ve servisi ertesi gün geri getirdi.

Saldırı nasıl ilerledi?

Bu olayın öğretici yanı, devasa bir sıfırıncı-gün açığı yerine çoktan gözden düşmüş bir özelliğin istismar edilmesi. Yıllar içinde herkese açık biçimde sunulan ücretsiz öğretmen hesapları, zamanla platformun en az gözetlenen köşesi hâline gelmişti. Saldırı kabaca şu sırayla ilerledi:

[ 25 Nis ] Free-For-Teacher programından erişim
     │  ücretsiz öğretmen hesaplarındaki açık
     ▼
[ 29 Nis ] Instructure fark ediyor, erişimi kesiyor
     │  adli bilişim · 5 May'da kurumlara bildirim
     ▼
[ 7 May ]  portallar ele geçiriliyor   # ~330 kurum · sınav haftası
     │  Canvas çevrimdışı → ertesi gün geri
     ▼
[ 11 May ] fidye ödeniyor · "shred log"  # ~275M kullanıcı · 3,65 TB

1. Unutulmuş bir özellik, açık bir kapı

Free-For-Teacher programı, öğretmenlerin doğrulama olmadan hızlıca hesap açıp Canvas'ı denemesine olanak tanıyordu. Kullanışlı ama denetimi gevşek bu giriş noktası, saldırganlara platformun içine adım atacakları zemini sağladı. Bir özelliğin yıllar önce iyi niyetle eklenmiş olması, bugün hâlâ güvenli olduğu anlamına gelmiyordu.

2. Veriye erişim ve dışarı sızdırma

İçeri girdikten sonra saldırganlar geniş bir veri kümesine ulaştı. ShinyHunters, 3,65 TB veri çaldığını; bunun yaklaşık 275 milyon kullanıcıyı ve neredeyse 9.000 kurumu kapsadığını öne sürdü. Çalınan veriler arasında isimler, e-posta adresleri, öğrenci kimlik numaraları ve öğrenci–öğretmen arasındaki bazı özel mesajlar vardı.

3. Şantaj ve geri sayım

Grup, çaldığı veriyi sızdırmakla tehdit edip kurumlara pazarlık için bir son tarih verdi. İlk verilen 7 Mayıs tarihi sonra 12 Mayıs'a uzatıldı. Bu, son dönemde sıkça gördüğümüz "şifrele ve kilitle" değil, doğrudan "çal ve ifşayla şantaj yap" türünden bir fidye yaklaşımıydı.

Ne sızdı, ne sızmadı?

Instructure'ın açıklamalarına göre etkilenen veriler ile etkilenmeyenler arasında net bir ayrım vardı. Sızdığı doğrulananlar:

• Kimlik bilgileri — isimler ve e-posta adresleri.
• Öğrenci kimlik numaraları — kurum içi öğrenci ID'leri.
• Bazı özel mesajlar — öğrenci ile öğretmen arasındaki yazışmaların bir bölümü.

Şirket, parola, doğum tarihi, resmî kimlik ve finansal bilgilerin sızdığına dair bir kanıt bulunmadığını belirtti. Yine de açıkta kalan veri seti, hedefli kimlik avı (phishing) ve dolandırıcılık için fazlasıyla yeterliydi — özellikle öğrenci–öğretmen mesajları gibi bağlam taşıyan içerikler, ikna edici sahte iletiler hazırlamayı kolaylaştırır.

Fidye ödendi — peki bu ne anlama geliyor?

11 Mayıs'ta Instructure, ShinyHunters ile bir anlaşmaya vardı ve fidyeyi ödedi. Karşılığında, çalınan verinin imha edildiğini "kanıtlayan" kayıtları (shred log) aldığını açıkladı. Anlaşmanın koşulları kamuya açıklanmadı; doğrulanmamış söylentiler bedelin 10 milyon dolar civarında olduğunu öne sürdü.

Buradaki kritik nokta şu: fidye ödemek, verinin gerçekten yok edildiğini garanti etmez. Bir suç grubunun "sildim" demesi, elinde kopya kalmadığı anlamına gelmez. Nitekim olayda ikinci bir izinsiz erişim daha kabul edildi ve grup ifşa için yeni bir son tarih belirledi. Yani ödeme, sorunu kapatmaktan çok, güvenin tümüyle saldırganın sözüne bırakıldığı kırılgan bir anlaşmaya dönüştü.

Kurumunuz için sade adımlar

Bu ölçekte bir olay küçük kurumları çaresiz gibi gösterebilir; oysa alınacak önlemlerin çoğu sade ve uygulanabilir. Saldırının yayılmasını ve etkisini zorlaştıran birkaç temel başlık:

• Eski ve gözden düşmüş özellikleri kapatın — artık kullanılmayan ücretsiz deneme, eski hesap programı ve atıl uçları devre dışı bırakın; en sessiz köşeler en az korunan köşelerdir.
• Tuttuğunuz veriyi azaltın — gerçekten gerekmeyen kişisel veriyi toplamayın, süresi geçeni silin. Tutulmayan veri sızdırılamaz.
• Üçüncü taraf SaaS envanteri çıkarın — hangi platformun hangi veriyi tuttuğunu bilin; tedarikçinizin güvenliği sizin de güvenliğinizdir.
• Erişimi sıkılaştırın — MFA'yı zorunlu kılın, yönetici hesaplarını ayırın ve hesapların yalnızca işini yapacak kadar yetki taşımasını sağlayın.
• İş sürekliliğini planlayın — kritik bir platform çöktüğünde (örneğin sınav haftasında) işin nasıl yürüyeceğine dair bir yedek planınız ve düzenli test edilen yedekleriniz olsun.
• Fidye politikanızı önceden belirleyin — kriz anında değil, sakin bir günde karar verin: ödeme yapılacak mı, yapılmayacaksa müdahale ve bildirim akışı ne olacak?

Özetle

Canvas olayı, saldırganların en gelişmiş savunmayı değil, en az gözetilen güven noktasını hedeflediğini bir kez daha gösterdi. Bu kez o nokta, yıllar önce iyi niyetle açılmış ve sonra unutulmuş bir "ücretsiz hesap" programıydı. Tek bir gözden düşmüş özellik, sınav haftasında binlerce kurumu çevrimdışı bıraktı ve 275 milyon kullanıcının verisini pazarlık masasına taşıdı.

Çıkarılacak sonuç karamsar değil, aksine yön gösterici: korunması gereken yüzeyi tanımak, gereksiz veriyi azaltmak ve atıl kapıları kapatmak çoğu zaman mükemmel bir savunma kurmaktan daha etkili. Fidye ise hiçbir zaman bir kurtarma planı değildir; gerçek güvence, verinin hiç sızmaması için baştan kurulan katmanlardadır.

Bu konuların teknik temeline daha yakından bakmak isterseniz Bilgi Merkezi · Web Uygulama Güvenliği, Kimlik & Erişim Yönetimi ve Yedekleme & Felaket Kurtarma rehberlerine göz atabilirsiniz.