متى وقع الاختراق الثاني لبيانات Canvas؟

وقع حادث الوصول غير المصرح به الثاني الذي استهدف منصة Canvas التابعة لـ Instructure في السابع من مايو. وجاء في أعقاب اختراق سابق مباشرةً، مما أثار مخاوف جدية حول ما إذا كانت الثغرة الأصلية قد عولجت بالكامل.

ما الإجراءات التي اتخذتها جامعة Penn State رداً على الاختراق؟

ألغت جامعة Penn State الامتحانات المقررة وقيّدت مؤقتاً وصول أعضاء هيئة التدريس والطلاب إلى Canvas. وكان التوقيت مزعزعاً بشكل خاص إذ تزامن مع موسم الامتحانات النهائية.

هل كان هذا أول اختراق يطال Canvas؟

لا، كان هذا الاختراق الثاني؛ إذ أكدت مجموعة القرصنة الشهيرة ShinyHunters سابقاً اختراقاً أولياً طال ملايين الطلاب والمعلمين عبر مؤسسات حول العالم.

اختراق بيانات Canvas الثاني يعطّل الامتحانات في جامعة Penn State وما هو أبعد منها

Q: أي الجامعات تأثرت بالاختراق؟

كانت جامعة Penn State من أبرز المؤسسات المتضررة، إلى جانب نظامَي جامعة كاليفورنيا وجامعة ولاية كاليفورنيا، ومؤسسات في ولاية فيرجينيا، وجامعات على المستوى الدولي.

اختراق بيانات Canvas الثاني يعطّل الامتحانات في جامعة Penn State وما هو أبعد منها

أثار حادث الوصول غير المصرح به الثاني الذي استهدف منصة Canvas التابعة لـ Instructure في السابع من مايو موجةً من الصدمة في أوساط التعليم العالي، مما أجبر جامعات من بينها Penn State على إلغاء الامتحانات وتقييد الوصول إلى المنصة والتسابق لوضع خطط طوارئ بديلة. ويمثّل اختراق بيانات Canvas الذي طال المدارس والكليات تصعيداً مثيراً للقلق في الهجمات التي تستهدف تقنيات التعليم المركزية، إذ وضع البيانات الأكاديمية والشخصية الحساسة لملايين الطلاب في مرمى النيران مباشرةً.

ما الذي جرى في الاختراق الثاني لـ Instructure

في السابع من مايو، أكدت Instructure وقوع حادث وصول غير مصرح به ثانٍ يطال نظام إدارة التعلم Canvas. وبينما لا تزال التفاصيل التقنية الكاملة شحيحة، جاء الاختراق في أعقاب حادثة سابقة مباشرةً، مما يوحي إما بأن الثغرة الأصلية لم تُعالَج بالكامل، أو أن المهاجمين عثروا على مسلك جديد إلى البنية التحتية للمنصة.

أعلنت Instructure أن المشكلة حُلّت في نهاية المطاف وأن Canvas عادت إلى وضع التشغيل الكامل، دون أي دليل على وجود وصول غير مصرح به مستمر في وقت الإفصاح. غير أن هذا التطمين لم يخفف من حجم القلق الذي يساور آلاف المدارس التي تعتمد على Canvas في تقديم المقررات الدراسية وإجراء التقييمات وتخزين سجلات الطلاب الحساسة.

يندرج هذا الحادث الثاني ضمن نمط أوسع من الهجمات التي تستهدف Instructure. وكما أوردنا في اختراق ShinyHunters يضرب منصة Instructure Canvas: كشف بيانات الطلاب، فقد أكدت مجموعة القرصنة الشهيرة ShinyHunters سابقاً اختراقاً طال ملايين الطلاب والمعلمين عبر مؤسسات حول العالم. ويُضاف حادث السابع من مايو إلى ذلك الاختراق السابق، مما يثير تساؤلات جدية حول ما إذا كانت تحسينات أمنية كافية قد أُجريت في الفترة الفاصلة بين الحادثتين.

المدارس المتضررة وكيفية تأثرها

كانت جامعة Penn State من أبرز المؤسسات المتضررة، إذ ألغت الامتحانات المقررة وقيّدت مؤقتاً وصول أعضاء هيئة التدريس والطلاب إلى Canvas. وقد أثبت توقيت الاختراق مدى الضرر الذي ألحقه، إذ وقع خلال موسم الامتحانات النهائية في كثير من الكليات والجامعات، حين يعتمد الطلاب أكثر ما يكون اعتمادهم على المنصة لتسليم الواجبات والاطلاع على مواد المقررات وأداء التقييمات الإلكترونية.

وإلى جانب Penn State، أُفيد بتضرر نظامَي جامعة كاليفورنيا وجامعة ولاية كاليفورنيا، فضلاً عن مؤسسات في ولاية فيرجينيا وولايات أخرى. ويُجلّي النطاق الدولي للاختراق الذي امتد ليطال جامعات حول العالم مدى التغلغل العميق الذي باتت عليه Canvas في البنية التحتية الأكاديمية على مستوى العالم.

بالنسبة للطلاب، تجاوزت التداعيات العملية مجرد تفويت موعد تسليم. فقد أوجد إلغاء الامتحانات فوضى في الجداول الزمنية للطلاب المتقدمين للتخرج ولأصحاب المتطلبات الأكاديمية ذات الحساسية الزمنية. وواجه أعضاء هيئة التدريس تحدي التواصل مع الطلاب عبر قنوات بديلة على عجل، فيما اضطر المسؤولون إلى اتخاذ قرارات سريعة بشأن مدى الوثوق بالمنصة في ظل تحقيق نشط جارٍ.

لماذا تُشكّل منصات التعليم الإلكتروني المركزية خطراً على الخصوصية

يُسلّط الاستهداف المتكرر لـ Instructure الضوء على مشكلة هيكلية في تقنيات التعليم الحديثة: تمركز البيانات الحساسة من آلاف المؤسسات في البنية التحتية لمورّد واحد. تخدم Canvas ما يُقدَّر بنحو 9,000 مؤسسة تعليمية أو أكثر حول العالم. يجعل هذا الحجم المنصة هدفاً بالغ القيمة للمجرمين الإلكترونيين، إذ يمكن لاختراق واحد ناجح أن يُسفر عن سجلات أكاديمية ومعلومات تعريف شخصية وبيانات مالية محتملة لملايين الأفراد دفعةً واحدة.

هذا هو بعينه تعريف نقطة الفشل المنفردة. حين تُدير منظومة مدرسية بنيتها التحتية المحلية الخاصة، يكون الاختراق ضاراً لكنه محدود النطاق. أما حين تُفوّض آلاف المدارس بياناتها إلى منصة واحدة، فإن دائرة الضرر الناجمة عن أي هجوم تتسع اتساعاً هائلاً. وقد أدرك تنظيم ShinyHunters ذلك حين ادّعى على ما يُروى وصوله إلى ما يقارب 275 مليون سجل في حادثة ذات صلة بـ Instructure، كما هو مفصّل في ShinyHunters يدّعي الحصول على 275 مليون سجل في اختراق Instructure.

تُلزم الأطر التنظيمية كـ FERPA في الولايات المتحدة المؤسسات التعليمية بحماية سجلات الطلاب، غير أن الالتزامات وآليات الإنفاذ تتشعّب وتتعقد حين تكون البيانات بحوزة مورّد طرف ثالث. وقد تجد المدارس نفسها أمام مسؤولية قانونية رغم أنها لم تكن الهدف المباشر للهجوم.

كيف يمكن للطلاب والموظفين حماية بياناتهم الأكاديمية الحساسة

بينما تقع قرارات الأمن المؤسسي في عهدة المسؤولين وأقسام تقنية المعلومات، ثمة خطوات ملموسة يمكن للطلاب والموظفين اتخاذها لتقليص تعرّضهم الشخصي للمخاطر.

استخدم كلمات مرور قوية وفريدة لكل منصة. إذا كنت تُعيد استخدام كلمة المرور ذاتها عبر منصات متعددة وجرى اختراق بيانات اعتماد Canvas، فقد يُجري المهاجمون هجمات حشو بيانات الاعتماد على بريدك الإلكتروني وحساباتك المصرفية وغيرها. استخدم مدير كلمات المرور لتوليد بيانات اعتماد فريدة لكل خدمة وتخزينها.

فعّل المصادقة متعددة العوامل أينما أمكن. تدعم Canvas ومعظم أنظمة الدخول الموحّد المؤسسية المصادقة متعددة العوامل. تفعيلها يعني أن كلمة المرور المسروقة وحدها لا تكفي المهاجم للوصول إلى حسابك.

كن يقظاً تجاه محاولات التصيد الاحتيالي. في أعقاب الاختراقات الكبرى، كثيراً ما يُرسل المهاجمون رسائل بريد إلكتروني تصيدية انتهازية يتظاهرون فيها بأنهم المنصة المتضررة أو المؤسسة ذاتها. عامِل أي بريد إلكتروني غير مرغوب يطلب منك إعادة تعيين بيانات الاعتماد أو التحقق من تفاصيل الحساب بحذر وشك. اذهب مباشرةً إلى عنوان URL الرسمي للمؤسسة بدلاً من النقر على روابط البريد الإلكتروني.

راقب سجلاتك الأكاديمية والشخصية. إذا أكدت مؤسستك أن بياناتك شملها الاختراق، فكّر في وضع تجميد ائتماني ورصد أي علامات على سوء استخدام هويتك. يمكن استغلال السجلات الأكاديمية وبطاقات هوية الطلاب في هجمات هندسة اجتماعية مُستهدفة.

اطلب من مؤسستك تفاصيل محددة. تلتزم المدارس بموجب FERPA بإخطار الطلاب بالاختراقات التي تمس سجلاتهم. لا تنتظر سلباً؛ تواصل مع مكتب السجلات أو قسم تقنية المعلومات واسأل مباشرةً عن البيانات التي طالها الاختراق والخطوات الوقائية المتخذة نيابةً عنك.

ما الذي يعنيه هذا بالنسبة لك

يُذكّرنا اختراق بيانات Canvas الثاني الذي طال المدارس والكليات بأن الراحة والمركزية لا تخلوان من مقايضات. وثق ملايين الطلاب بأن مؤسساتهم الأكاديمية والموردين الذين تعتمد عليهم هذه المؤسسات كانوا يصونون معلوماتهم الشخصية. وقد اختُبر هذا الثقة مرتين في غضون فترة قصيرة.

بالنسبة للطلاب والمعلمين، تتمثل الأولوية العملية الآن في تأمين الحسابات الشخصية والبقاء في حالة تأهب ضد الهجمات التبعية. وينبغي أن يدفع الاختراق المؤسساتِ إلى إجراء مراجعة جدية لمتطلبات أمن الموردين وممارسات تقليل البيانات والتخطيط لحالات الطوارئ عند تعطّل منصات الطرف الثالث أو اختراقها.

للاطلاع على النطاق الكامل للهجمات المرتبطة بـ Instructure والجهات الفاعلة في التهديد، راجع تغطية اختراق ShinyHunters التفصيلية المرتبطة أعلاه. معرفة الأصل والأساليب الكامنة وراء هذه الحوادث هي الخطوة الأولى نحو المطالبة بحمايات أقوى من المنصات التي تعتمد عليها أنت ومؤسستك يومياً.

اختراق بيانات Canvas الثاني يعطّل الامتحانات في جامعة Penn State وما هو أبعد منها

ما الذي جرى في الاختراق الثاني لـ Instructure

المدارس المتضررة وكيفية تأثرها

لماذا تُشكّل منصات التعليم الإلكتروني المركزية خطراً على الخصوصية

كيف يمكن للطلاب والموظفين حماية بياناتهم الأكاديمية الحساسة

ما الذي يعنيه هذا بالنسبة لك

// الأسئلة الشائعة

// ذات صلة