Porušení údajů

Útok skupiny ShinyHunters zasáhl Canvas a narušil závěrečné zkoušky na Princetonské univerzitě

8. května 20265 min čtení

By Lina Petrov — 8 let recenzování spotřebitelských technologií

Útok skupiny ShinyHunters zasáhl Canvas a narušil závěrečné zkoušky na Princetonské univerzitě

V jednom z nejhorších možných okamžiků akademického kalendáře přestal fungovat vzdělávací systém Canvas. Studenti Princetonské univerzity, kteří se přihlašovali k odevzdání závěrečných zkoušek a přístupu ke studijním materiálům, narazili na výpadky způsobené kybernetickým útokem přisuzovaným hackerské skupině ShinyHunters, který narušil provoz tisíců institucí po celém světě. Přestože byl Canvas pro většinu uživatelů obnoven, incident zanechal palčivou otázku: kolik studentských dat bylo odhaleno a co bude dál?

Co se stalo během výpadku Canvas

Útok byl namířen proti společnosti Instructure, provozovateli Canvas – jednoho z nejrozšířenějších systémů pro správu výuky ve vysokém školství i na základních a středních školách. Narušení nastalo v týdnu závěrečných zkoušek, což jeho dopady výrazně znásobilo. Oddělení informačních technologií Princetonské univerzity potvrdilo, že výpadek souvisí s probíhajícím bezpečnostním incidentem ve společnosti Instructure, přičemž webová platforma i mobilní aplikace byly po značnou dobu nedostupné.

ShinyHunters nejsou v oblasti kybernetické bezpečnosti žádnou novinkou. Skupina je spojena s řadou vysoce sledovaných úniků dat v posledních letech a její zapojení naznačuje, že nešlo o náhodný ani příležitostný útok. Při narušení mohla být odhalena jména, e-mailové adresy, čísla studentských průkazů a interní zprávy uživatelů z institucí po celém světě. Plný rozsah kompromitovaných dat je stále předmětem šetření.

Proč jsou studentská data hodnotným cílem

Může se zdát překvapivé, že vzdělávací platforma přitahuje sofistikované útočníky, ale studentská a institucionální data mají skutečnou tržní hodnotu. E-mailové adresy spojené s ověřenými univerzitními účty jsou využitelné pro phishingové kampaně. Čísla studentských průkazů lze kombinovat s dalšími údaji a usnadnit tak podvodné zneužití identity. Interní zprávy mohou obsahovat citlivé osobní nebo akademické informace, o jejichž sdílení uživatelé nikdy neuvažovali.

Vzdělávací instituce jsou historicky hůře vybaveny v oblasti kybernetické bezpečnosti ve srovnání s finančním nebo zdravotnickým sektorem, což z platforem jako Canvas činí atraktivní vstupní bod. Pokud jeden dodavatel obsluhuje tisíce škol, úspěšné narušení poskytuje útočníkům obrovskou páku. Botnet může být například použit k zesílení útoků credential stuffing proti platformám s velkou, konsolidovanou uživatelskou základnou – jde o taktiku stále běžnější při rozsáhlých průnicích.

Incident s Canvas také ukazuje, jak mohou dodavatelé softwaru třetích stran představovat pro instituce zásadní zranitelnost. I když jsou vlastní systémy Princetonu zabezpečeny, ochrana dat univerzity je jen tak silná, jak silný je nejslabší článek jejího dodavatelského řetězce.

Co to znamená pro vás

Pokud Canvas na jakékoli instituci používáte, předpokládejte, že vaše základní informace o účtu mohly být odhaleny, dokud společnost Instructure nepotvrdí opak. To znamená, že vaše jméno, institucionální e-mail a číslo studentského průkazu se mohou volně šířit. V ohrožení jsou rovněž interní zprávy odeslané prostřednictvím Canvas.

Zde jsou konkrétní kroky, které byste měli podniknout hned teď:

Okamžitě si změňte heslo k Canvas a nepoužívejte stejné heslo na jiných platformách. Pro každou službu používejte jedinečné, silné heslo.
Povolte vícefaktorové ověřování (MFA) všude, kde je k dispozici na vašich institucionálních účtech. Tím přidáte klíčovou vrstvu ochrany i v případě, že dojde ke kompromitaci přihlašovacích údajů.
Buďte ostražití vůči phishingovým pokusům cíleným na vaši univerzitní e-mailovou adresu. Útočníci, kteří získali ověřené e-mailové adresy, je mohou využít k vytvoření přesvědčivých podvodných zpráv vydávajících se za vaši univerzitu nebo společnost Instructure.
Sledujte své studentské účty a hledejte jakoukoli neobvyklou aktivitu, včetně neočekávaných žádostí o obnovení hesla nebo neznámých přihlašovacích oznámení.
Zvažte používání e-mailového aliasu zaměřeného na ochranu soukromí pro nepodstatné registrace v budoucnu, aby vaše primární institucionální adresa nebyla vystavena při budoucích narušeních dodavatelů.

Pro studenty pracující s citlivými výzkumnými, klinickými nebo osobními informacemi prostřednictvím univerzitních platforem je tento incident připomínkou, že institucionální nástroje nezaručují bezpečnost na institucionální úrovni. Pečlivé zvažování toho, co sdílíte uvnitř jakékoli platformy třetí strany – i té, kterou vaše škola doporučuje – je návyk, který stojí za to si vypěstovat.

Širší obraz institucionální kybernetické bezpečnosti

Narušení Canvas je součástí širšího vzorce útoků na infrastrukturu, na níž každodenně závisí miliony lidí. Když tyto platformy vypadnou nebo jsou kompromitovány, důsledky nejsou abstraktní: studenti nestíhají termíny, pedagogové ztrácejí přístup ke známkám a osobní data se bez souhlasu dostávají do oběhu. Narušení na Princetonu, které se krylo se závěrečnými zkouškami, ukazuje, jak mohou kybernetické útoky způsobit skutečné škody daleko přesahující technickou rovinu.

Pro instituce tento incident posiluje potřebu tlačit na dodavatele ohledně jejich bezpečnostních postupů ještě před podpisem smlouvy, nikoli až po narušení. Řízení rizik dodavatelů, zásady minimalizace dat a plánování reakce na incidenty nejsou byrokratické formality. Jsou rozdílem mezi zvladatelným narušením a krizí, která se rozhoří právě v týdnu závěrečných zkoušek.

Pro studenty a pedagogy je závěr jednoduchý: zacházejte se svými institucionálními přihlašovacími údaji se stejnou vážností jako s heslem k bankovnímu účtu, zůstaňte ostražití vůči následným phishingovým útokům a využívejte každou bezpečnostní funkci, kterou vaše účty nabízejí. Úniky dat na úrovni dodavatele jsou z velké části mimo vaši kontrolu, ale vaše reakce na ně nikoli.

// FAQ

Která hackerská skupina stojí za útokem na Canvas?

Za narušením stojí skupina ShinyHunters, hackerská skupina s historií vysoce sledovaných kybernetických útoků. Její zapojení naznačuje, že útok byl záměrný, nikoli příležitostný.

Jaká data mohla být při narušení odhalena?

Při narušení mohla být odhalena jména, e-mailové adresy, čísla studentských průkazů a interní zprávy uživatelů z institucí po celém světě. Plný rozsah kompromitovaných dat byl v době vydání článku stále předmětem šetření.

Které společnosti Canvas patří a kdo ho provozuje?

Canvas vlastní a provozuje společnost Instructure, jeden z nejrozšířenějších poskytovatelů systémů pro správu výuky obsluhující vysokoškolské i základní a střední školy po celém světě.

Proč jsou vzdělávací platformy považovány za atraktivní cíle pro kyberzločince?

Vzdělávací instituce jsou historicky hůře vybaveny v oblasti kybernetické bezpečnosti ve srovnání s finančním nebo zdravotnickým sektorem, což z nich činí zranitelné cíle. Pokud jeden dodavatel jako Canvas obsluhuje tisíce škol, úspěšné narušení poskytuje útočníkům obrovskou páku.

Jak načasování útoku ovlivnilo studenty Princetonské univerzity?

Výpadek nastal v týdnu závěrečných zkoušek a znemožnil studentům odevzdávat zkoušky nebo přistupovat ke studijním materiálům prostřednictvím webové platformy i mobilní aplikace Canvas. Oddělení informačních technologií Princetonské univerzity potvrdilo, že výpadek souvisel s bezpečnostním incidentem ve společnosti Instructure.

Útok skupiny ShinyHunters zasáhl Canvas a narušil závěrečné zkoušky na Princetonské univerzitě

Co se stalo během výpadku Canvas

Proč jsou studentská data hodnotným cílem

Co to znamená pro vás

Širší obraz institucionální kybernetické bezpečnosti

// FAQ

// Související