Která společnost byla postižena a čím je známá?

Instructure, společnost stojící za hojně využívaným systémem pro správu výuky Canvas, potvrdila narušení bezpečnosti. Slouží vzdělávacím institucím včetně škol K-12, vyšších odborných škol, univerzit a firemních vzdělávacích programů.

Kolik záznamů ShinyHunters tvrdí, že ukradli?

ShinyHunters tvrdí, že ukradli 275 milionů záznamů patřících studentům, učitelům a dalším osobám z téměř 9 000 vzdělávacích institucí.

Jaké druhy osobních informací mohly být při tomto narušení bezpečnosti odhaleny?

Vzdělávací záznamy zahrnuté do narušení bezpečnosti mohou obsahovat jména, e-mailové adresy, institucionální identifikátory a citlivější informace vázané na akademické nebo administrativní systémy. Tato data mohou být zneužita pro phishing, podvody s identitou a útoky sociálního inženýrství.

Jaké kroky by měli podniknout uživatelé Canvas?

Uživatelé by měli být ostražití vůči phishingovým e-mailům navrženým tak, aby vypadaly jako oficiální komunikace od škol nebo úřadů finanční pomoci. Měli by také používat jedinečná, silná hesla pro vzdělávací účty, ideálně spravovaná prostřednictvím správce hesel.

ShinyHunters tvrdí, že získali 275 milionů záznamů při narušení bezpečnosti Instructure

Q: Kdo jsou ShinyHunters?

ShinyHunters je hackerská skupina s dlouhou historií rozsáhlých krádeží dat, která se zaměřovala na společnosti v odvětvích maloobchodu, financí, zdravotnictví a technologií. Jejich typický přístup spočívá v krádeži dat a hrozbě jejich zveřejnění, pokud oběť nezaplatí výkupné.

ShinyHunters tvrdí, že ukradli 275 milionů záznamů z edtech giganta Instructure

Vzdělávací technologická společnost Instructure potvrdila narušení bezpečnosti dat poté, co notoricky známá hackerská skupina ShinyHunters pohrozila zveřejněním dat, která tvrdí, že ukradla z téměř 9 000 vzdělávacích institucí. Skupina tvrdí, že získala záznamy patřící 275 milionům studentů, učitelů a dalších osob, což by v případě potvrzení těchto tvrzení učinilo tento incident jedním z největších narušení bezpečnosti v sektoru vzdělávání, jaké bylo kdy hlášeno.

Instructure, nejlépe známý svým hojně využívaným systémem pro správu výuky Canvas, dosud veřejně nepotvrdil plný rozsah toho, k čemu bylo přistoupeno. Společnost incident zveřejnila uprostřed vydíracího tlaku ze strany ShinyHunters – skupiny s dlouhou historií rozsáhlých krádeží dat a veřejných hrozeb úniku, jejichž cílem je donutit organizace k zaplacení výkupného.

Kdo jsou ShinyHunters a proč by vás to mělo zajímat

ShinyHunters není v kruzích kybernetické bezpečnosti žádné neznámé jméno. Skupina je spojována s desítkami vysoce profilovaných narušení bezpečnosti za posledních několik let a zaměřuje se na společnosti v odvětvích maloobchodu, financí, zdravotnictví a technologií. Jejich typický přístup spočívá v exfiltraci velkého množství uživatelských dat a následné hrozbě jejich zveřejnění na fórech dark webu, pokud postižená organizace nezaplatí.

Tento konkrétní incident je pozoruhodný zejména rozsahem tvrzené krádeže a citlivostí postižené skupiny obyvatelstva. Studenti, z nichž mnozí jsou nezletilí, představují jedinečně zranitelnou skupinu. Vzdělávací záznamy mohou zahrnovat jména, e-mailové adresy, institucionální identifikátory a v některých případech citlivější informace vázané na akademické nebo administrativní systémy. Data tohoto druhu mohou být zneužita pro phishingové kampaně, podvody s identitou a útoky sociálního inženýrství, které se nemusí projevit ještě měsíce či roky po počátečním narušení bezpečnosti.

Zapojení téměř 9 000 institucí také znamená, že expozice je geograficky i organizačně rozsáhlá a zahrnuje školy K-12, vyšší odborné školy, univerzity a potenciálně i firemní vzdělávací programy využívající Canvas.

Co to znamená pro vás

Pokud vy nebo vaše děti navštěvujete školu, vyšší odbornou školu nebo univerzitu, která využívá platformu Canvas od Instructure, vaše data mohla být součástí tohoto incidentu. V tuto chvíli je vhodné přijmout několik preventivních opatření bez ohledu na to, zda obdržíte formální oznámení.

Zaprvé, buďte ostražití vůči phishingovým pokusům. Útočníci, kteří získají e-mailové adresy z narušených databází, na ně často navazují cílenými e-maily, které jsou navrženy tak, aby vypadaly jako oficiální komunikace od škol, úřadů finanční pomoci nebo poskytovatelů technologií. Jakýkoli nečekaný e-mail vyzývající vás ke kliknutí na odkaz, ověření přihlašovacích údajů nebo aktualizaci platebních informací by měl být přijímán se skepsí.

Zadruhé, zvažte používání jedinečných, silných hesel pro všechny účty spojené s vaší vzdělávací institucí. Správce hesel usnadňuje správu přihlášení k více službám. Pokud váš školní účet sdílí heslo s jinými službami, tato hesla nyní změňte.

Zatřetí, rodiče nezletilých studentů by měli být obzvláště pozorní. Data dětí jsou pro podvodníky zvláště cenná, protože jsou často roky bez dozoru, což zločincům dává dlouhé časové okno ke zneužití, než si toho kdokoli všimne.

Pro správce IT a bezpečnostní týmy ve vzdělávacích institucích je toto narušení bezpečnosti připomínkou nutnosti prověření přístupu dodavatelů třetích stran. Organizace, které se spoléhají na platformy jako Canvas, jim často udělují výrazný přístup k informačním systémům pro správu studentů. Přezkoumání toho, jaká data jsou sdílena, jak jsou uložena a jaké smluvní bezpečnostní závazky jsou od dodavatelů vyžadovány, není volitelná práce. Je to nezbytné řízení rizik.

Širší problém bezpečnosti v sektoru vzdělávání

Vzdělávání se neustále řadí mezi nejčastěji napadaná odvětví ve zprávách o narušení bezpečnosti dat, přesto bývá mezi nejméně vybaveným, pokud jde o rozpočty a personální zajištění kybernetické bezpečnosti. Školy a univerzity spravují obrovské množství osobně identifikovatelných informací, přičemž často fungují se zastaralou infrastrukturou, omezeným IT personálem a přísným finančním omezením.

Narušení bezpečnosti u Instructure ilustruje narůstající riziko, které přináší centralizace dat napříč tisíci institucí prostřednictvím jediné platformy. Když se tato platforma stane terčem útoku, rozsah škod je obrovský. Narušení bezpečnosti, které by v izolaci postihlo jednu instituci, místo toho postihne téměř 9 000 institucí současně.

Toto není argument proti cloudovým edtech platformám, které přinášejí skutečnou hodnotu. Je to argument pro to, aby byly tyto platformy podrobeny nejvyšším bezpečnostním standardům a aby instituce praktikovaly vrstvené zabezpečení, včetně vynucování vícefaktorového ověřování, minimalizace zbytečného sdílení dat a udržování jasných plánů reakce na incidenty.

Konkrétní doporučení

Sledujte své účty. Dávejte pozor na neobvyklou přihlašovací aktivitu na všech účtech spojených s vaší školou nebo univerzitou.
Aktualizujte hesla. Změňte přihlašovací údaje k vašemu účtu Canvas a všem ostatním službám, které sdílejí stejné heslo.
Povolte vícefaktorové ověřování na vašich vzdělávacích účtech, pokud je k dispozici.
Dejte si pozor na phishing. Buďte opatrní při nevyžádaných e-mailech, které tvrdí, že pocházejí z vaší instituce nebo přímo od Instructure.
Rodiče: zkontrolujte digitální stopu svého dítěte. Zvažte zmrazení úvěru na rodné číslo nezletilého dítěte, pokud jste v USA, protože ukradená studentská data mohou být zneužívána po celé roky.
Instituce: prověřte přístup dodavatelů. Zkontrolujte, k jakým datům mají přístup edtech platformy třetích stran, a zajistěte, aby smlouvy obsahovaly jasné požadavky na bezpečnost a oznamování narušení bezpečnosti.

Plný rozsah narušení bezpečnosti dat u Instructure se stále vyjasňuje. Jakmile budou k dispozici další podrobnosti, postižené osoby a instituce by měly sledovat oficiální pokyny od Instructure a zůstat ostražité. Narušení bezpečnosti tohoto rozsahu vyžadují čas k úplnému pochopení, ale výše uvedené kroky mohou snížit vaši expozici již od dnešního dne.

ShinyHunters tvrdí, že ukradli 275 milionů záznamů z edtech giganta Instructure

Kdo jsou ShinyHunters a proč by vás to mělo zajímat

Co to znamená pro vás

Širší problém bezpečnosti v sektoru vzdělávání

Konkrétní doporučení

// FAQ

// Související