#data-breach | SJ blog

security 2026年5月10日

Canvas（Instructure）ShinyHunters侵害——2億7500万人データが脅迫対象、身代金期限は5月12日

LMS最大手InstructureのCanvasがShinyHuntersに侵害され、9000校・2億7500万人のデータが人質に。2026年5月12日の身代金期限が迫る。期末試験週と重なった大規模インシデントの経緯と対策を解説。

#canvas #instructure #shinyhunters #data-breach #lms #ransomware #security #education #incident-response

security 2026年4月27日

Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった

AIアプリビルダーLovableで2026年2月3日〜4月20日の48日間、BOLA（Broken Object Level Authorization）によりすべての公開プロジェクトのソースコード・Supabase認証情報・チャット履歴に誰でもアクセスできる状態が続いた。HackerOneへの複数報告が無視された経緯と、マルチテナントSaaSの設計教訓を解説。

#security #lovable #bola #owasp #vibe-coding #multi-tenant #api-security #data-breach

記事へ →

#data-breach (2 件)

Canvas（Instructure）ShinyHunters侵害——2億7500万人データが脅迫対象、身代金期限は5月12日

Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった