Peretasan Canvas Guncang Musim Final Saat Kampus Hadapi Ancaman Bocor Data

Peretasan Canvas meledak pada saat yang nyaris paling buruk bagi dunia pendidikan. Pada Kamis, 7 Mei 2026, platform belajar yang dipakai ribuan sekolah dan kampus mendadak lumpuh ketika mahasiswa sedang mengejar bahan ujian akhir, dosen sedang mengunggah nilai, dan berbagai institusi bergantung penuh pada satu sistem yang sama. Dalam hitungan jam, ruang kelas digital berubah menjadi kekacauan nyata.

Perkembangan terbaru pada Jumat, 8 Mei 2026, menunjukkan masalahnya bukan sekadar outage teknis. Reuters melaporkan sebagian sekolah dan universitas yang datanya dicuri justru menghubungi peretas untuk mencegah data itu dipublikasikan. FBI juga mengatakan mereka mengetahui gangguan yang menghantam sistem pendidikan Amerika Serikat, sementara kelompok ShinyHunters mengklaim telah mencuri sekitar 6,65 terabita data yang terkait dengan hampir 9.000 sekolah di seluruh dunia.

Associated Press menambahkan bahwa akses ke Canvas sempat pulih untuk banyak pengguna pada Jumat, tetapi dampaknya tidak langsung selesai. Sejumlah kampus tetap menutup akses sebagai langkah pencegahan sambil memeriksa risiko keamanan. Beberapa ujian akhir ditunda karena mahasiswa kehilangan akses ke catatan kuliah, materi belajar, video perkuliahan, tugas, hingga jalur pengumpulan proyek. Ketika satu platform memegang hampir seluruh ritme akademik, gangguan beberapa jam saja sudah cukup untuk mengacaukan satu pekan penting.

Skala ancaman kebocoran datanya juga membuat kasus ini jauh lebih serius. Menurut klaim ShinyHunters yang dikutip Reuters dan AP, data yang berpotensi terdampak mencakup nama, alamat email, nomor identitas siswa, serta pesan pribadi di dalam platform. Klaim dari kelompok peretas itu belum bisa diverifikasi secara independen sepenuhnya, tetapi Instructure sendiri sebelumnya menyatakan insiden ini memang menyentuh informasi identitas pengguna dan komunikasi di sistem. Perusahaan mengatakan mereka belum menemukan bukti bahwa kata sandi, tanggal lahir, identitas pemerintah, atau data finansial ikut terekspos.

Instructure menyebut aktor tidak sah melakukan perubahan pada halaman yang muncul ketika sebagian pengguna masuk ke Canvas. Demi membatasi akses dan menyelidiki insiden, perusahaan sempat mematikan sistem dan untuk sementara menonaktifkan akun Free-For-Teacher yang disebut berkaitan dengan celah yang dieksploitasi. Langkah ini masuk akal dari sisi keamanan, tetapi juga menunjukkan betapa rapuhnya ketergantungan besar pada satu vendor ketika titik lemahnya ternyata berada di pusat lalu lintas akademik global.

Dampak berikutnya kemungkinan tidak berhenti pada gangguan ujian. Pakar keamanan siber mengingatkan bahwa data seperti nama, email, ID pelajar, dan riwayat pesan sangat cukup untuk memicu serangan phishing yang jauh lebih meyakinkan. Dalam konteks kampus, ini berarti mahasiswa dan dosen bisa menjadi target email palsu soal reset akun, penjadwalan ulang ujian, atau pemberitahuan nilai. Sesudah sistem kembali online, fase paling berbahaya justru sering dimulai saat pengguna merasa keadaan sudah normal.

Kasus Canvas memperlihatkan satu hal yang makin sulit diabaikan: digitalisasi pendidikan memang membuat pembelajaran lebih cepat, tetapi juga menumpuk risiko pada infrastruktur yang sangat terpusat. Ketika platform inti diganggu, yang terhenti bukan cuma server, melainkan jadwal ujian, penilaian, komunikasi kelas, dan rasa aman jutaan pengguna. Di era kampus serba daring, pelajaran paling mahal kadang datang bukan dari ruang kuliah, melainkan dari saat sistem tiba-tiba tak bisa dibuka.