Коя киберпрестъпна група е отговорна за нарушението на Penn Canvas?

Нарушението е извършено от ShinyHunters — киберпрестъпна група, свързана с множество високопрофилни кражби на данни, насочени срещу организации с големи обеми централизирани лични данни.

Колко потребители са изложени на риск от нарушението на Penn Canvas?

Повече от 300 000 свързани с Penn лица са изложени на риск, като компрометираните данни включват записи за записване в курсове и вътрешни съобщения.

Какъв краен срок за откуп е поставен от ShinyHunters?

ShinyHunters постави краен срок от 12 май за преговори за откуп, заплашвайки да публично оповести откраднатите файлове, ако университетът не се съобрази.

Дали атаката е започнала от собствените системи на Университета на Пенсилвания?

Не, атаката изглежда е започнала от Instructure — доставчикът нагоре по веригата, притежаващ и управляващ платформата Canvas, — а не от собствената инфраструктура на Penn.

Защо университетите се считат за привлекателни цели за групи за ransomware?

Университетите събират големи количества лично идентифицираща информация, работят по предвидими академични календари с периоди на висок натиск и нерядко разполагат с IT бюджети, изоставащи от съвременните заплахи в киберсигурността.

ShinyHunters удари Penn Canvas, 300 000 потребители са изложени на риск

Киберпрестъпната група ShinyHunters принуди обучителния портал Canvas на Университета на Пенсилвания да излезе офлайн, след като заяви, че е откраднала данни на повече от 300 000 свързани с Penn лица. Групата постави краен срок за преговори за откуп — 12 май, заплашвайки да публично оповести откраднатите файлове, ако университетът не се съобрази. Инцидентът е част от по-мащабно нарушение на сигурността на Instructure — компанията, която притежава и управлява платформата Canvas, използвана от университети и училища в цялата страна.

Компрометираните данни включват записи за записване в курсове и вътрешни съобщения — именно онзи вид чувствителна институционална информация, която студенти, преподаватели и служители никога не очакват да попадне в ръцете на престъпници. За хора, които използват университетските си акаунти ежедневно, нарушението е едновременно логистично смущение и сериозен проблем за поверителността.

Какво представлява ShinyHunters и защо това е важно

ShinyHunters не е ново име в областта на киберсигурността. Групата е свързана с редица високопрофилни кражби на данни през последните няколко години, като е насочвала атаките си срещу организации, в чиито централизирани платформи са концентрирани огромни обеми лични данни. Образователните институции отговарят почти напълно на този профил: те събират имена, имейл адреси, данни за записване, финансова информация, академични досиета и лична кореспонденция — всичко съхранявано в системи, които нерядко разполагат с недостатъчни ресурси за сигурност.

В случая векторът на атаката изглежда е започнал от Instructure — доставчикът нагоре по веригата, — а не от собствената инфраструктура на Penn. Това разграничение е важно. Дори ако университетът прилага стабилни вътрешни практики за сигурност, той остава защитен само дотолкова, доколкото са защитени платформите на трети страни, от които зависи. Това е структурна уязвимост, засягаща практически всяка институция, използваща базирана в облак система за управление на обучението.

Крайният срок за откуп — 12 май — добавя неотложност към вече смущаващата ситуация. Студентите и преподавателите загубиха достъп до учебни материали, задания и комуникации в критичен момент от академичния календар, което е поредно напомняне, че атаките с ransomware имат реални последици, далеч отвъд простата кражба на данни.

Защо университетите са доходоносни цели

Висшите учебни заведения са се превърнали в предпочитан терен за лов от страна на групи за ransomware и брокери на данни. Няколко фактора ги правят привлекателни цели.

Първо, университетите съхраняват огромни количества лично идентифицираща информация за десетки хиляди хора, включително непълнолетни в програми за двойно записване. Второ, академичните календари създават предвидими прозорци с висок натиск — като изпитни сесии — когато системното смущение причинява максимална вреда и увеличава вероятността за бързо изплащане. Трето, IT бюджетите на повечето университети са разпределени между конкуриращи се приоритети, което означава, че инфраструктурата за сигурност може да изостава от sophistication-а на съвременните заплахи.

Нарушението в Penn следва модел, наблюдаван в десетки институции през последните години. Когато един доставчик като Instructure бъде компрометиран, радиусът на поражение се разширява до всяка клиентска институция, което прави икономиката на атаката изключително ефективна за нападателя.

Какво означава това за вас

Ако сте студент, преподавател или служител в Penn или в друга институция, използваща Canvas, това нарушение е ясен сигнал да прегледате своята дигитална хигиена по отношение на институционалните акаунти.

Започнете с паролата си. Университетските идентификационни данни често се използват повторно за личен имейл, социални мрежи и други услуги. Ако паролата ви за вход в Penn съвпада с нещо друго, което използвате, сменете я сега на всички платформи. Активирайте многофакторно удостоверяване на всеки акаунт, който го поддържа, като приоритизирате имейла и всеки акаунт, свързан с финансови или академични записи.

Бъдете внимателни за опити за фишинг през следващите седмици. Нападатели, получили достъп до данни за записване в курсове и вътрешни съобщения, могат да съставят изключително убедителни имейли, изглеждащи като изпратени от университетската администрация или от преподаватели. Ако получите неочаквано съобщение, с което ви се иска да кликнете върху връзка или да предоставите идентификационни данни, проверете го по официални канали, преди да предприемете каквото и да е действие.

Струва си да помислите и за по-широкия принцип на минимизиране на данните. Колкото повече лични данни са съхранени в една платформа, толкова по-голямо е излагането при нарушаване на сигурността й. Когато е възможно, избягвайте да съхранявате чувствителна лична информация в институционални системи извън необходимото.

За потребители, достъпващи университетски системи от споделени мрежи — като кампусен Wi-Fi или обществени точки за достъп — използването на надежден VPN може да намали риска от прихващане на идентификационни данни по време на пренос. Макар VPN да не би предотвратил нарушението в Instructure, защитата на вашата връзка е разумна базова навик за всеки, който редовно борави с чувствителни данни за вход.

Основни изводи

Атаката на ShinyHunters срещу системата Canvas на Penn е поредно напомняне, че никоя институция не е твърде голяма или твърде мисионерски ориентирана, за да бъде атакувана. Нарушението при доставчика нагоре по веригата — Instructure — показва, че отделните институции могат да бъдат жертви дори без пряка атака срещу собствените им системи.

За 300 000-те и повече хора, чиито данни може да са били разкрити, незабавните стъпки са ясни: сменете паролите, активирайте многофакторно удостоверяване и останете бдителни за фишинг. За университетските администратори и IT екипи инцидентът затвърждава аргументите в полза на строги оценки на сигурността на доставчиците и договорни изисквания за минимизиране на данните.

Крайният срок от 12 май ще дойде и ще отмине, но самите данни — веднъж откраднати — не изчезват. Независимо дали Penn ще преговаря или ще откаже, засегнатите потребители трябва да действат с допускането, че тяхната информация е в обращение, и да предприемат съответните защитни мерки.