Комисията по вътрешна сигурност на Камарата разследва пробива в данните на студенти в Canvas

Комисията по вътрешна сигурност на Камарата разследва пробива в данните на студенти в Canvas

Кризата с поверителността при пробива в данните на студенти в Canvas достигна до Капитолийския хълм. Комисията по вътрешна сигурност на Камарата на представителите официално образува разследване срещу Instructure, компанията зад широко използваната система за управление на обучението Canvas, като изисква брифинг относно пропуските в сигурността, позволили на киберпрестъпниците да откраднат студентски записи и да отправят заплахи за изнудване срещу хиляди образователни институции.

Това конгресно ескалиране бележи значителен обрат в пробив, който вече разтревожи училища, наруши провеждането на изпити и разкри лична информация, свързана с десетки милиони студенти. За родители, студенти и преподаватели посланието е ясно: този инцидент вече не е просто проблем на технологична компания, който да се управлява тихомълком.

Какво изисква разследването на Комисията по вътрешна сигурност на Камарата от Instructure

Законодателите от Комисията по вътрешна сигурност на Камарата не чакат Instructure доброволно да даде отговори. Разследването на комисията е съсредоточено върху конкретните пропуски в сигурността, позволили пробива, върху начина, по който компанията е реагирала след откриването на проникването, и върху това какви защити съществуват за студентските данни, съхранявани в платформата.

Фактът, че е ангажирана парламентарна комисия, добавя формален надзорен натиск, какъвто едно писмо за уведомление от компания просто не може да осигури. Instructure ще трябва да предостави подробни сведения за архитектурата си на сигурност, хронологията на реакцията при инцидента и начина, по който са били обработени заплахите за изнудване. Конгресните разследвания от този вид могат да доведат и до законодателни действия, включително нови изисквания за начина, по който доставчиците на образователни технологии съхраняват и защитават студентските данни.

Пробивът е приписан на хакерската група ShinyHunters, която пое отговорност за кражбата на над 275 милиона студентски записа, включително имена, имейл адреси, студентски идентификационни номера и лични съобщения. След това групата агресивно ескалира кампанията си, излизайки далеч отвъд простата кражба на данни.

Защо студентските записи са ценна мишена за киберпрестъпниците

Студентските данни може да не изглеждат толкова непосредствено доходоносни, колкото данните за достъп до финансови сметки, но са забележително ценни на престъпните пазари по няколко причини. Младите хора, включително непълнолетни, често имат чиста кредитна история и номера на социалното осигуряване, които никога не са използвани за финансови измами. Това ги прави привлекателни мишени за кражба на самоличност, която може да остане неоткрита с години.

Освен измами със самоличност, записи, съдържащи имейл адреси, студентски идентификационни номера и лични съобщения, могат да бъдат използвани в фишинг кампании, атаки за пълнене с идентификационни данни и схеми за социално инженерство, насочени както към студентите, така и към техните семейства. Заплахите за изнудване, като тези, отправени при този пробив, носят и психологическа тежест, когато жертвите са студенти, изправени пред академични крайни срокове.

ShinyHunters демонстрира точно колко агресивен може да стане този сценарий. Както беше съобщено по-рано, групата обезобрази порталите за вход на училища с послания за откуп, превръщайки кражбата на данни в видима, публична кампания за сплашване, целяща да принуди институциите да платят.

Как доставчиците на образователни технологии събират и излагат на риск чувствителни студентски данни

Canvas се използва от близо 9 000 институции по целия свят, което означава, че пробивът при един доставчик има мултиплициращ ефект, различен от почти всеки друг сектор. Когато даден университет съхранява студентски данни локално, пробивът засяга само съответния кампус. Когато облачна система за управление на обучението бъде компрометирана, излагането на риск обхваща хиляди училища едновременно.

Образователно-технологичните платформи събират широк набор от данни като стандартна оперативна дейност. Предадени задания, лични съобщения между студенти и преподаватели, активност при влизане, показатели за академично представяне и лично идентифицираща информация — всичко това се обработва чрез тези системи. Голяма част от това събиране е необходимо за функционирането на платформите, но създава концентрирана информационна среда, която по своята същност е привлекателна за нападателите.

Пробивът в Canvas разкри и как един инцидент може да се разрасне. Втори инцидент с неоторизиран достъп на 7 май принуди университети, включително Пен Стейт, да отменят изпити и да ограничат достъпа до платформата, демонстрирайки, че първоначалните твърдения за овладяване на ситуацията не винаги отразяват пълния мащаб на проникването.

Какво могат да направят в момента родители и студенти, загрижени за поверителността

Парламентарният надзор е важен, но институционалната отчетност се движи бавно. Междувременно студентите, родителите и преподавателите могат да предприемат конкретни стъпки за намаляване на излагането си на риск.

Проверете дали вашата институция е засегната. Свържете се директно с ИТ отдела на вашето училище и попитайте какви конкретни данни може да са били разкрити чрез Canvas. Не разчитайте единствено на писмата за уведомление при пробив, които могат да бъдат забавени или непълни.

Следете за измами със самоличност, особено при непълнолетни. Ако са били разкрити името, имейлът и студентският идентификационен номер на студент, обмислете блокиране на кредитния му профил от негово/нейно име. При непълнолетните това често се пренебрегва, тъй като децата обикновено нямат активни кредитни досиета — но именно затова техните данни са ценни за измамниците.

Сменете паролите и активирайте многофакторна автентикация. Всеки акаунт, използвал същата комбинация от имейл и парола като за влизане в Canvas, трябва да бъде актуализиран незабавно. Активирайте многофакторна автентикация за имейл акаунти и всички свързани с обучението платформи.

Бъдете бдителни за фишинг опити. Разкритите имейл адреси вероятно ще бъдат използвани в последващи фишинг кампании. Студентите и родителите трябва да бъдат особено внимателни към имейли, изискващи данни за вход, финансова информация или спешни действия.

Използвайте VPN в споделени или обществени мрежи. Кампусните и обществените Wi-Fi среди са чести вектори за прихващане на идентификационни данни. Надежден VPN добавя слой криптиране, защитаващ активността при влизане в мрежи, които не контролирате.

Разследването на Комисията по вътрешна сигурност на Камарата е необходна стъпка към отчетност, но ще отнеме време, преди да даде резултати. Разбирането на пълния произход и обхват на този пробив — включително как ShinyHunters първоначално е получила достъп до системите на Instructure и мащабът на откраднатото — е от съществено значение за всеки, който оценява собствения си риск. Да останете информирани, да следите данните си и да предприемете основни защитни стъпки сега са най-ефективните налични отговори, докато разследването се развива.