اختراقات البيانات

شركة Instructure دفعت فدية لمجموعة ShinyHunters بعد اختراق Canvas

12 مايو 20266 دقيقة قراءة

By ماركوس ويبر — معتمد CISSP، 12 عاماً في صحافة الأمن السيبراني

شركة Instructure دفعت فدية لمجموعة ShinyHunters بعد اختراق Canvas

ما يكشفه دفع شركة Instructure للفدية عن الثغرات الأمنية في قطاع التعليم الرقمي

أكدت شركة Instructure، المطوّرة لنظام Canvas لإدارة التعلم، أحد أكثر الأنظمة استخدامًا في الولايات المتحدة، أنها توصلت إلى اتفاق مالي مع مجموعة القرصنة ShinyHunters في أعقاب هجوم إلكتروني جسيم استهدف منصتها. وقد استقطب قرار دفع الفدية، الذي اتُّخذ لمنع الكشف العلني عن السجلات المسروقة، تدقيقًا مكثفًا من لجنة الأمن الداخلي في مجلس النواب الأمريكي، التي فتحت تحقيقًا رسميًا في الحادثة. ويطرح هذا الحادث تساؤلات ملحّة حول مواطن الضعف في حماية بيانات التعليم ومدى استثمار شركات التقنية التعليمية الكافي في البنية التحتية اللازمة لحماية من تخدمهم.

وفي حد ذاته، يُعدّ دفع الفدية مؤشرًا دالًا؛ فحين تلجأ مؤسسة إلى الدفع لإخفاء البيانات المسروقة بدلًا من الجزم بأن تلك البيانات كانت محمية بصورة كافية، فهذا يوحي بأن وضعها الأمني الأساسي ربما افتقر إلى دفاعات متينة كالعزل الشبكي، وضوابط الوصول القائمة على مبدأ عدم الثقة المطلقة، والتشفير الشامل للسجلات الحساسة. وبالنسبة لمنصة تتولى إدارة المعلومات الشخصية للطلاب والمعلمين والكوادر الأكاديمية على نطاق واسع، فإن هذه الثغرات تنطوي على عواقب بالغة الخطورة.

من تضرر ومা الذي سرقته ShinyHunters من Canvas

يتسم نطاق الاختراق بأهمية بالغة؛ إذ ادّعت مجموعة ShinyHunters، المعروفة بسجلها الحافل من عمليات سرقة البيانات الضخمة، أنها سرقت سجلات من آلاف المدارس والجامعات التي تستخدم منصة Canvas. وتشير التقارير إلى أن البيانات المسروقة قد تشمل مئات الملايين من السجلات المرتبطة بطلاب ومعلمين وموظفين في مدارس التعليم الأساسي (K-12) ومؤسسات التعليم العالي في أرجاء البلاد.

تشمل أنواع البيانات التي يُبلَّغ عن تورطها المعرّفات الشخصية والسجلات الأكاديمية، وهي بالضبط النوع من المعلومات التي يتعذّر تغييرها أو إلغاؤها بمجرد كشفها. فعلى خلاف كلمة المرور المخترقة، يظل اسم الطالب وتاريخ ميلاده وانتماؤه المؤسسي وعنوان بريده الإلكتروني مرتبطًا به بشكل دائم. وتشمل المخاطر اللاحقة حملات التصيد الاحتيالي، وسرقة الهوية، وهجمات الهندسة الاجتماعية التي تستهدف الشباب الذين قد لا يدركون بعد علامات التحذير.

كما تسبّب توقيت الهجوم، الذي تزامن مع فترة الامتحانات النهائية في كثير من المؤسسات، في اضطرابات تشغيلية أثّرت على الطلاب الساعين إلى تسليم واجباتهم وأداء اختباراتهم، مما ضاعف الأضرار إلى ما هو أبعد من مجرد سرقة البيانات.

لماذا تبقى المدارس وشركات التقنية التعليمية أهدافًا رئيسية لهجمات الفدية

باتت المؤسسات التعليمية وشركات التقنية التي تخدمها أهدافًا متكررة لمجموعات برامج الفدية والابتزاز، وذلك لأسباب هيكلية. فكثيرًا ما تعمل المناطق التعليمية والجامعات في ظل ميزانيات تقنية معلومات محدودة، وأنظمة قديمة، وبيئات شبكية مجزّأة تجعل تحقيق أمن شامل أمرًا عسيرًا. وحين تجمع شركات التقنية التعليمية من أمثال Instructure بيانات آلاف المؤسسات في منصة موحدة، فإن نجاح أي اختراق على مستوى تلك الشركة يمكن أن يُحدث أثرًا متتاليًا يمتد عبر النظام البيئي بأسره.

فضلًا عن ذلك، تحتفظ منصات التقنية التعليمية بنوع معين من البيانات يجده المبتزّون ذا قيمة، ألا وهو سجلات القاصرين. وتخضع بيانات الطلاب لحمايات فيدرالية بموجب قانون FERPA، وتواجه المؤسسات المعرّضة لخطر كشف هذه البيانات مخاطر سمعة وقانونية جسيمة، مما يجعل بعض المنظمات أكثر ميلًا للتفاوض مع المهاجمين بدلًا من المخاطرة بالإفصاح العلني. وتشكّل هذه الديناميكية بالضبط نوع النفوذ الذي تستغله مجموعات كـShinyHunters.

كما يشهد المشهد التنظيمي تشديدًا متصاعدًا فيما يخص التعامل مع بيانات الطلاب. وتعكس الجهود التشريعية على مستوى الولايات، كـقانون SB 73 في ولاية يوتا الذي يستهدف التحقق من العمر والخصوصية الرقمية للقاصرين، ضغطًا شعبيًا وسياسيًا متناميًا لحماية صغار المستخدمين على الإنترنت. وقد تجد شركات التقنية التعليمية التي تتقاعس عن الوفاء بهذه الالتزامات نفسها في مواجهة تبعات الاختراق وعقوبات الامتثال في آنٍ واحد.

كيف يمكن للمؤسسات التعليمية توظيف شبكات VPN ومبدأ عدم الثقة لحماية بيانات الطلاب

تُمثّل حادثة Instructure دراسة حالة في ما يحدث حين لا يُقابَل تجميع البيانات على نطاق واسع باستثمار متناسب في ضوابط الوصول والبنية الشبكية. وبالنسبة لمسؤولي تقنية المعلومات في قطاع التعليم، يوفر هذا الاختراق إطارًا عمليًا لإعادة تقييم وضعهم الدفاعي.

يمكن لتقنية VPN، حين تُنشر على مستوى الشبكة، أن تشكّل طبقة ضمن استراتيجية أشمل للحدّ من الأنظمة والمستخدمين القادرين على الوصول إلى قواعد البيانات الحساسة والوظائف الإدارية. وحين تُدمج مع مبادئ عدم الثقة المطلقة، أي عدم الوثوق تلقائيًا بأي مستخدم أو جهاز لمجرد كونه داخل المحيط الشبكي، تُسهم شبكات VPN في ضمان صعوبة بالغة للتحرك الجانبي داخل البيئة المخترقة. فالمهاجم الذي يكتسب موطئ قدم أولي عبر رسالة تصيد احتيالي أو نقطة نهاية مخترقة يجب ألا يتمكن من التجوال بحرية للوصول إلى مكان تخزين سجلات الطلاب.

ويُعدّ تقسيم الشبكة بالغ الأهمية كذلك؛ إذ إن الإبقاء على بيانات نظام إدارة التعلم معزولة عن الأنظمة المؤسسية الأخرى يعني أن الاختراق في منطقة واحدة لا يؤدي تلقائيًا إلى كشف كل شيء آخر. وتُكمّل ضوابط الوصول المشفّرة، والمصادقة متعددة العوامل، وعمليات التدقيق الأمني الدورية من جهات خارجية، صورة البيئة التقنية التعليمية القابلة للدفاع.

أما بالنسبة لأولياء الأمور والطلاب، فإن الخطوة الأكثر إلحاحًا هي مراقبة أي نشاط غير اعتيادي في الحسابات المرتبطة بأي عناوين بريد إلكتروني أو بيانات اعتماد مرتبطة بـCanvas أو الحسابات المؤسسية التابعة لها، والتعامل مع أي تواصل غير متوقع من جهات تعليمية بقدر مناسب من التشكيك.

ما الذي يعنيه هذا بالنسبة لك

سواء كنت مسؤول تقنية معلومات في منطقة تعليمية، أو ضابط أمن في جامعة، أو وليّ أمر لطالب يستخدم Canvas، فإن هذا الاختراق يذكّرك بأن البيانات المؤتمن عليها في منصات التقنية التعليمية لا تكون في مأمن إلا بقدر ما تكون الممارسات الأمنية التي تحميها. فدفع الفدية يكبح تسريب البيانات، لكنه لا يتراجع عن السرقة، ولا يضمن عدم ظهور تلك البيانات لاحقًا.

خطوات عملية قابلة للتنفيذ:

إن كانت مؤسستك تستخدم Canvas، تواصل مع قسم تقنية المعلومات للتأكد من البيانات المحددة التي قد تكون متورطة وما إذا كان المستخدمون المتضررون سيتلقون إشعارًا بذلك.
راجع شركات التقنية التعليمية الخارجية التي تتعامل معها مؤسستك، واطرح أسئلة مباشرة حول شهاداتها الأمنية، وتاريخ اختراقاتها، وممارسات الاحتفاظ بالبيانات لديها.
بالنسبة لفرق تقنية المعلومات، اغتنم هذه الفرصة لمراجعة سياسات تقسيم الشبكة وضوابط الوصول المتعلقة بأي منصات تديرها جهات خارجية وتحتفظ بسجلات الطلاب.
استكشف ما إذا كانت سياسات VPN وعدم الثقة الحالية في مؤسستك تمتد لتشمل التكاملات مع جهات خارجية، لا الأنظمة الداخلية وحسب.
على الطلاب وأعضاء هيئة التدريس تغيير كلمات المرور المرتبطة بحسابات Canvas وأي حسابات أخرى أعادوا فيها استخدام تلك البيانات.

قد يُسفر تحقيق لجنة الأمن الداخلي في مجلس النواب عن توجيهات جديدة أو ضغوط تشريعية على شركات التقنية التعليمية. وفي غضون ذلك، تأتي الحماية الأكثر فاعلية من المؤسسات التي تتعامل مع أمن بيانات الأطراف الثالثة باعتباره مسألة محاسبة مستمرة، لا مجرد خانة تُشطَب عند توقيع العقد.

// الأسئلة الشائعة

من هي مجموعة ShinyHunters وما الذي سرقته من Canvas؟

ShinyHunters مجموعة ابتزاز ناشطة تشتهر بعمليات سرقة البيانات الضخمة، وقد ادّعت أنها سرقت سجلات من آلاف المدارس والجامعات التي تستخدم منصة Canvas. وتشير التقارير إلى أن البيانات المسروقة تشمل مئات الملايين من السجلات المتضمنة لمعرّفات شخصية وسجلات أكاديمية مرتبطة بطلاب ومعلمين وموظفين.

هل دفعت شركة Instructure فدية لمجموعة ShinyHunters؟

نعم، أكدت شركة Instructure أنها توصلت إلى اتفاق مالي مع ShinyHunters لمنع الكشف العلني عن السجلات المسروقة. وقد استقطب هذا الدفع تدقيقًا مكثفًا من لجنة الأمن الداخلي في مجلس النواب الأمريكي، التي فتحت تحقيقًا رسميًا في الحادثة.

ما أنواع البيانات الشخصية التي تعرضت للاختراق في حادثة Canvas؟

تشمل البيانات المسروقة وفق التقارير معرّفات شخصية وسجلات أكاديمية، كأسماء الطلاب وتواريخ ميلادهم وانتماءاتهم المؤسسية وعناوين بريدهم الإلكتروني. وعلى خلاف كلمات المرور، لا يمكن تغيير هذا النوع من المعلومات أو إلغاؤه بسهولة بعد كشفه.

هل تسبب الاختراق في اضطرابات تتجاوز مجرد سرقة البيانات؟

نعم، تسبّب الهجوم في اضطرابات تشغيلية نظرًا لتزامنه مع فترة الامتحانات النهائية في كثير من المؤسسات، مما أثّر على الطلاب الساعين إلى تسليم واجباتهم وأداء اختباراتهم.

لماذا تُعدّ المؤسسات التعليمية وشركات التقنية التعليمية أهدافًا متكررة لهجمات الفدية؟

كثيرًا ما تعمل المناطق التعليمية والجامعات في ظل ميزانيات تقنية معلومات محدودة، وأنظمة قديمة، وبيئات شبكية مجزّأة تجعل تحقيق أمن شامل أمرًا عسيرًا. وحين تجمع شركات التقنية التعليمية من أمثال Instructure بيانات آلاف المؤسسات في منصة موحدة، يمكن أن يكون للاختراق الناجح تأثير بالغ الاتساع.