Нарушението на Canvas LMS засяга над 72 000 души в Хонконг в седем институции

Нарушение на данните в Canvas LMS: Становището на Комисаря по защита на личните данни на Хонконг

Последиците от нарушението на личните данни в Canvas LMS продължават да се разширяват. Комисарят по защита на личните данни на Хонконг потвърди, че седем местни институции са засегнати от глобалния компромис на системата за управление на обучението Canvas на Instructure, като личните данни на повече от 72 000 лица вече са в ръцете на неоторизирани страни. Въпреки че комисарят отбеляза, че към момента няма доказателства за преки финансови загуби сред засегнатите, длъжностните лица внимателно подчертаха, че липсата на непосредствена вреда не означава, че рискът е отминал.

Нарушението, приписано на заплаха, която е получила достъп до вътрешните системи на Instructure, е разкрило редица лични данни, включително имена, имейл адреси и идентификационни номера на студенти. За десетките хиляди студенти и служители в засегнатите хонконгски институции тази комбинация от идентификатори създава дългосрочен потенциал за злоупотреба, далеч отвъд новинарския цикъл.

Кои хонконгски институции бяха засегнати и какви данни бяха разкрити

Седем институции в Хонконг съобщиха за въздействие от нарушението, въпреки че длъжностните лица не са ги назовали публично всички. Разкритите данни обхващат широк кръг от академичната общност: студенти, преподаватели и административен персонал. Засегнатата лична информация — включително имена, институционални имейл адреси и идентификационни номера — е именно от типа данни, който подкрепя фишинг кампании, атаки с попълване на идентификационни данни и атаки чрез социално инженерство.

Особено тревожен за засегнатите лица е характерът на системата за управление на обучението. Canvas съхранява не само данни за акаунти, но и вътрешни съобщения, записи за курсова дейност, а в някои конфигурации — и качени документи. Широкият обхват на данните, достъпни чрез единичен компромис на вътрешна система, означава, че хората може да не осъзнават напълно мащаба на откраднатото.

Защо плащането на откуп повдига предупредителни сигнали за бъдещи жертви на нарушения

Комисарят по защита на личните данни на Хонконг публично критикува решението на Instructure да плати откуп на нападателите. Тази критика заслужава сериозно внимание. Когато организациите плащат откупи, те не получават проверима гаранция, че откраднатите данни са изтрити или няма да бъдат продадени или преразпределени. Плащанията на откуп на практика възнаграждават модела на атака, насърчавайки повторни инциденти и окуражавайки други заплахи да се насочат към подобно ценни хранилища на лични данни.

Моделът не е уникален за този случай. Мащабните операции за изнудване, насочени към платформи, богати на данни, се превърнаха в повтаряща се черта на пейзажа на нарушенията. Твърдението на групата ShinyHunters за кражба на 21 милиона записа от холандската телекомуникационна компания Odido илюстрира как професионалните банди за изнудване оперират в мащаб, като често се насочват към организации, притежаващи плътни колекции от лични данни и имащи финансов стимул да прикрият нарушенията. И в двата случая засегнатите лица остават с малка сигурност относно крайното местонахождение на данните им след транзакция с откуп.

За над 72 000 души, засегнати от нарушението на Canvas в Хонконг, плащането на откуп не предлага никаква реална защита. Данните им вече са били копирани преди началото на каквито и да е преговори.

Как некриптираните институционални данни усилват щетите от нарушения

Един структурен проблем, който последователно усилва щетите от нарушения, свързани с академични и публични институции, е съхраняването на лични данни в некриптиран или минимално защитен формат. Системите за управление на обучението натрупват огромни обеми потребителски данни, често без същата архитектура за сигурност, прилагана към финансови или здравни платформи, въпреки че данните са сравнимо чувствителни.

Когато личните данни се съхраняват в открит текст или со слабо криптиране, едно-единствено неоторизирано събитие за достъп излага всичко в четима, незабавно използваема форма. Няма допълнителна бариера между нападателя и информацията на жертвата. Регулаторните рамки в много юрисдикции, включително Наредбата за лични данни (поверителност) на Хонконг, изискват от организациите да предприемат разумни стъпки за защита на данните, но прилагането след факта предлага малко утеха на вече изложените.

Академичните институции и техните технологични доставчици исторически изостават от другите сектори в прилагането на стабилни практики за минимизиране на данните и криптиране. Нарушението на Canvas е широко отразено напомняне за реалните разходи от тази пропаст.

Какво означава това за вас

Ако сте студент, преподавател или служител в някоя от засегнатите хонконгски институции — или в която и да е институция по света, използваща Canvas — сега е моментът да действате, вместо да чакате потвърждение за конкретна вреда.

Ето конкретни стъпки, които да предприемете:

• Незабавно сменете институционалната си парола и не я използвайте повторно в други платформи. Ако сте използвали същата парола другаде, актуализирайте и тези акаунти.
• Активирайте многофакторна автентикация в институционалния си акаунт и във всички лични акаунти, споделящи същия имейл адрес.
• Наблюдавайте имейл адреса си за необичайна активност. Разкритите институционални имейли се използват масово в целенасочени фишинг кампании, имитиращи вашия университет или работодател.
• Прегледайте каква лична информация сте подали чрез Canvas, включително съобщения, качени файлове и данни в профила. Разбирането на вашата изложеност ви помага да оцените риска по-точно.
• Помислете за услуга за наблюдение на самоличността, която ви предупреждава, ако личните ви данни се появят в нови изтичания или на неоторизирани платформи. Това е особено актуално, когато нарушението включва комбинации от имена, имейли и идентификационни номера.
• Бъдете скептични към непоискан контакт от всеки, твърдящ, че представлява вашата институция, в седмиците след нарушението. Атаките чрез социално инженерство често следват мащабни кражби на идентификационни данни.

Изявлението на Комисаря по защита на личните данни на Хонконг, че не са докладвани непосредствени финансови загуби, е успокоително в краткосрочен план. Но данните, откраднати при подобни нарушения, не изтичат. Имената, имейлите и институционалните идентификатори остават ценни за измамници, оператори на фишинг и брокери на идентификационни данни в продължение на месеци или години. Най-важното действие, което засегнатите лица могат да предприемат сега, е да третират това като траен риск, а не като разрешен инцидент, и да предприемат стъпки за намаляване на своята изложеност, преди проблемите да се материализират.