Пробив в Canvas: Instructure се изправя пред съдебни дела заради 275 милиона записа

Пробив в Canvas: Instructure се изправя пред съдебни дела заради 275 милиона записа

Кризата с поверителността на студентските данни след пробива в Canvas премина от техническа спешност към правна такава. Instructure Inc., компанията зад системата за управление на обучението Canvas, използвана от близо 9 000 институции по целия свят, вече се изправя пред вълна от федерални колективни искове. Ищците твърдят, че компанията не е успяла да защити адекватно личните данни на над 275 милиона студенти и учители, което прави това един от най-мащабните пробиви в образователния сектор в историята.

За милионите хора, които не са имали друг избор освен да използват Canvas чрез своето училище или университет, съдебното производство поставя въпрос, надхвърлящ правната стратегия: ако институциите, на които се доверявате, не могат да защитят вашите данни, какво можете всъщност да направите?

Какво според твърденията е сгрешил Instructure: пропуските в сигурността зад 275 милиона разкрити записа

Съдебните дела се съсредоточават върху познато, но сериозно твърдение: че Instructure е знаел или е трябвало да знае, че платформата му съхранява огромен обем от чувствителни лични данни, и не е внедрил мерки за сигурност, съразмерни с този риск.

Хакерската група ShinyHunters пое отговорност за атаката, като пробивът разкри имена, имейл адреси, студентски идентификационни номера и лични съобщения на студенти и преподаватели от хиляди институции. Според оповестявания от засегнати университети, Instructure потвърди, че поне част от тези данни са били ексфилтрирани преди проникването да бъде ограничено.

Ищците в колективните искове твърдят, че платформа, работеща в този мащаб и съхраняваща тази категория данни, е имала задължението да въведе по-строги контроли за достъп, стандарти за криптиране и системи за откриване на аномалии. Сравненията с предишни регулаторни действия срещу други доставчици на образователни технологии подсказват, че правната теория тук не е нова. Съдилищата и регулаторите все по-последователно приемат, че съхраняването на студентски данни носи повишено задължение за полагане на грижа, особено съгласно закони като FERPA и законодателството за защита на личните данни на ниво отделни щати.

Кой е засегнат и какви данни са изложени на риск

Пробивът засегна потребители от K-12 училища и институции за висше образование в Съединените щати и в чужбина. На индивидуално ниво разкритите данни включват информация, която на пръв поглед изглежда рутинна, но е изключително полезна за злонамерени лица. Имена, съчетани с институционални имейл адреси и студентски идентификационни номера, са точно комбинацията, необходима за изработване на убедителни фишинг имейли или за получаване на неоторизиран достъп до други училищни системи.

Личните съобщения са отделен повод за тревога. Много студенти и преподаватели използват системата за съобщения на Canvas за чувствителни академични разговори, включително дискусии относно оценки, улеснения и лични обстоятелства. Тези данни в ръцете на престъпна група създават рискове, далеч надхвърлящи спама или атаките с попълване на идентификационни данни.

Времето на инцидента, съвпаднал с периода на финални изпити в много институции, увеличи щетите. Училищата се бориха да възстановят достъпа, докато студентите се сблъскаха с нарушено учебно съдържание, а преподавателите загубиха достъп до записите за предадени работи и дневниците с оценки. Оперативните щети вървяха ръка за ръка с щетите за личното пространство, а засегнатите потребители разполагаха с малко правни средства в непосредствен план.

Как колективните искове преформатират отговорността в образователните технологии

Съдебните дела срещу Instructure отразяват по-широка промяна в начина, по който съдилищата и адвокатите на ищците третират компаниите в сферата на образователните технологии. В продължение на години секторът на образователните технологии работеше с относително ограничена правна отговорност в сравнение, да речем, с здравеопазването или финансите. Това се променя.

Колективните искове по дела за пробиви в данните станаха по-жизнеспособни, тъй като съдилищата все по-последователно приемат, че разкриването на лични данни представлява конкретна вреда, дори без документирани финансови загуби. Аргументът, че ищците „все още не са пострадали", отслабна, тъй като доказателствата за вторични вреди — като фишинг измами, кражба на самоличност и емоционален стрес — стана по-лесно да се документират и определят количествено.

Що се отнася конкретно до доставчиците на образователни технологии, регулаторният паралел е показателен. Предишните принудителни действия срещу компании като Google и разработчици на образователни приложения съгласно COPPA и FERPA установиха, че студентските данни не са стока, с която може да се борави небрежно. Адвокатите на ищците по делата срещу Instructure вероятно се позовават на този прецедент, за да твърдят, че предполагаемите пропуски в сигурността на компанията не само са били небрежни, но и са били предвидими предвид регулаторната среда, в която е оперирала.

Ако съдебното производство доведе до значително споразумение или решение, то може да установи нов стандарт за това как изглежда „разумната сигурност" за платформи, управляващи студентски записи в мащаб.

Защо студентите и учителите имат нужда от собствена защита на личните си данни извън класната стая

Неудобната реалност, която пробивът в Canvas подчертава, е, че студентите и преподавателите почти нямат думата коя платформа да приемат техните институции, но понасят последствията, когато тези платформи се провалят. Отказът от Canvas в училище, което го изисква, не е реалистична опция за повечето хора.

Тази асиметрия прави личната хигиена на поверителността по-важна, а не по-малко важна. Няколко практически стъпки могат значително да намалят вашата уязвимост след пробив като този.

Първо, третирайте своя институционален имейл адрес като компрометиран. Очаквайте опити за фишинг, отнасящи се до вашето училище, курсовете ви или студентския ви идентификационен номер. Бъдете скептични към всяко съобщение, което ви кара да потвърдите идентификационни данни или да кликнете върху връзка, дори ако изглежда, че идва от легитимен източник.

Второ, проверете дали вашите идентификационни данни са се появили в известни бази данни за пробиви. Ако сте използвали паролата си за Canvas и на други места, сменете тези пароли незабавно и обмислете използването на специален мениджър на пароли занапред.

Трето, помислете за услуги за наблюдение на самоличността, които ви предупреждават за нови акаунти, открити на ваше име, или за данните ви, появяващи се на пазарите в тъмната мрежа. Данните от пробиви от този мащаб са склонни да циркулират и да изникват отново в продължение на месеци и години, а не само непосредствено след инцидента.

И накрая, VPN няма да отмени вече случил се пробив, но защитава трафика ви в институционалните и обществените мрежи, където протича голяма част от академичния ви живот. Криптирането на вашата връзка ограничава това, което може да бъде прихванато на мрежово ниво — един слой защита, който си струва да поддържате независимо от това какво прави или не прави дадена платформа с вашите съхранени данни.

Какво означава това за вас

Колективните искове срещу Instructure са правен процес, който ще се развива в продължение на месеци или години. Дали ще доведат до значителна промяна в начина, по който компаниите за образователни технологии се справят със сигурността, е открит въпрос. Ясно е обаче, че 275 милиона души са имали данни, откраднати от система, която са били задължени да използват, а институциите, наложили тази употреба, сега сочат с пръст доставчика, докато доставчикът се изправя пред съда.

За по-задълбочен поглед върху техническите подробности на атаката на ShinyHunters и какво точно е било откраднато, анализът на пробива в Canvas от ShinyHunters разглежда инцидента от гледна точка на методологията на нападателя. Разбирането на начина, по който е настъпил пробивът, е първата стъпка към намаляване на собствената ви уязвимост следващия път, когато платформа, която сте задължени да използвате, стане мишена.

Направете преглед на личната си хигиена на данните сега: сменете паролите, следете самоличността си, бъдете скептични към непоискани съобщения, отнасящи се до вашето училище, и проучете инструментите за поверителност, подходящи за мрежите и устройствата, които използвате ежедневно. Институционалната отговорност е важна, но тя работи на различен времеви хоризонт от заплахите, които вече са в ход.