Παραβιάσεις Δεδομένων

Η ομάδα ShinyHunters ισχυρίζεται ότι έκλεψε 275 εκατομμύρια εγγραφές από την Instructure

4 Μαΐου 20265 λεπτά ανάγνωση

By Τζέιμς Οκαφόρ — Πιστοποιημένος κατά CIPP/E, ειδικός σε ψηφιακά δικαιώματα και δίκαιο της ιδιωτικής ζωής

Η ομάδα ShinyHunters ισχυρίζεται ότι έκλεψε 275 εκατομμύρια εγγραφές από την Instructure

Η ομάδα ShinyHunters ισχυρίζεται ότι έκλεψε 275 εκατομμύρια εγγραφές από τον κολοσσό εκπαιδευτικής τεχνολογίας Instructure

Η εταιρεία εκπαιδευτικής τεχνολογίας Instructure επιβεβαίωσε παραβίαση δεδομένων, αφού η악όσμητη ομάδα χάκερ ShinyHunters απείλησε να διαρρεύσει δεδομένα που ισχυρίζεται ότι έκλεψε από σχεδόν 9.000 εκπαιδευτικά ιδρύματα. Η ομάδα υποστηρίζει ότι απέκτησε εγγραφές που ανήκουν σε 275 εκατομμύρια μαθητές, εκπαιδευτικούς και άλλα άτομα, γεγονός που καθιστά αυτή την περίπτωση μια από τις μεγαλύτερες παραβιάσεις που έχουν αναφερθεί ποτέ στον εκπαιδευτικό τομέα, εφόσον επαληθευτούν οι ισχυρισμοί.

Η Instructure, γνωστή κυρίως για το ευρέως χρησιμοποιούμενο σύστημα διαχείρισης μάθησης Canvas, δεν έχει ακόμα δημοσίως επιβεβαιώσει την πλήρη έκταση των δεδομένων που αποκτήθηκαν. Η εταιρεία αποκάλυψε το περιστατικό υπό την πίεση εκβιασμού από τους ShinyHunters, μια ομάδα με μακρά ιστορία μαζικής κλοπής δεδομένων και δημόσιων απειλών διαρροής, που αποσκοπούν στην αναγκαστική πληρωμή λύτρων από τους οργανισμούς-θύματα.

Ποιοι είναι οι ShinyHunters και γιατί πρέπει να σας ενδιαφέρει

Οι ShinyHunters δεν είναι άγνωστο όνομα στους κύκλους της κυβερνοασφάλειας. Η ομάδα έχει συνδεθεί με δεκάδες παραβιάσεις υψηλού προφίλ τα τελευταία χρόνια, στοχεύοντας εταιρείες σε τομείς λιανικού εμπορίου, χρηματοοικονομικών, υγειονομικής περίθαλψης και τεχνολογίας. Η τυπική τους προσέγγιση περιλαμβάνει την εξαγωγή μεγάλων όγκων δεδομένων χρηστών και στη συνέχεια την απειλή δημοσίευσής τους σε φόρουμ του dark web, εκτός αν ο οργανισμός-θύμα πληρώσει.

Αυτό που καθιστά το συγκεκριμένο περιστατικό αξιοσημείωτο είναι η τεράστια κλίμακα της εικαζόμενης κλοπής και η ευαισθησία του πληγέντος πληθυσμού. Οι μαθητές, πολλοί από τους οποίους είναι ανήλικοι, αποτελούν μια ιδιαίτερα ευάλωτη ομάδα. Τα εκπαιδευτικά αρχεία μπορεί να περιλαμβάνουν ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αναγνωριστικά ιδρύματος και σε ορισμένες περιπτώσεις πιο ευαίσθητες πληροφορίες που συνδέονται με ακαδημαϊκά ή διοικητικά συστήματα. Δεδομένα αυτής της φύσης μπορούν να αξιοποιηθούν για εκστρατείες phishing, απάτη ταυτότητας και επιθέσεις κοινωνικής μηχανικής που ενδέχεται να μην εμφανιστούν για μήνες ή χρόνια μετά την αρχική παραβίαση.

Η εμπλοκή σχεδόν 9.000 ιδρυμάτων σημαίνει επίσης ότι η έκθεση είναι γεωγραφικά και οργανωτικά ευρεία, охватάει σχολεία Κ-12, κολέγια, πανεπιστήμια και ενδεχομένως εταιρικά προγράμματα κατάρτισης που χρησιμοποιούν το Canvas.

Τι σημαίνει αυτό για εσάς

Αν εσείς ή τα παιδιά σας φοιτούν σε σχολείο, κολέγιο ή πανεπιστήμιο που χρησιμοποιεί την πλατφόρμα Canvas της Instructure, τα δεδομένα σας ενδέχεται να έχουν εμπλακεί. Σε αυτό το στάδιο, αξίζει να λάβετε ορισμένα προληπτικά μέτρα, ανεξάρτητα από το αν λάβετε επίσημη ειδοποίηση.

Πρώτον, να είστε σε εγρήγορση για απόπειρες phishing. Οι επιτιθέμενοι που αποκτούν διευθύνσεις ηλεκτρονικού ταχυδρομείου από παραβιασμένες βάσεις δεδομένων συχνά ακολουθούν με στοχευμένα μηνύματα σχεδιασμένα να μοιάζουν με επίσημες ανακοινώσεις από σχολεία, γραφεία οικονομικής βοήθειας ή παρόχους τεχνολογίας. Κάθε απρόσμενο μήνυμα που σας ζητά να κάνετε κλικ σε σύνδεσμο, να επαληθεύσετε διαπιστευτήρια ή να ενημερώσετε στοιχεία πληρωμής πρέπει να αντιμετωπίζεται με σκεπτικισμό.

Δεύτερον, σκεφτείτε να χρησιμοποιείτε μοναδικούς, ισχυρούς κωδικούς πρόσβασης για κάθε λογαριασμό που συνδέεται με το εκπαιδευτικό σας ίδρυμα. Ένας διαχειριστής κωδικών πρόσβασης κάνει αυτό ευκολότερο στη διαχείριση σε πολλές συνδέσεις. Αν ο λογαριασμός σας στο σχολείο μοιράζεται κωδικό πρόσβασης με άλλες υπηρεσίες, αλλάξτε αυτούς τους κωδικούς τώρα.

Τρίτον, οι γονείς ανήλικων μαθητών πρέπει να είναι ιδιαίτερα προσεκτικοί. Τα δεδομένα των παιδιών είναι ιδιαίτερα πολύτιμα για απατεώνες, επειδή συχνά παραμένουν ανεπιτήρητα για χρόνια, δίνοντας στους εγκληματίες ένα μεγάλο παράθυρο κατάχρησης πριν κάποιος το αντιληφθεί.

Για διαχειριστές IT και ομάδες ασφαλείας σε εκπαιδευτικά ιδρύματα, αυτή η παραβίαση αποτελεί υπενθύμιση για τον έλεγχο της πρόσβασης τρίτων προμηθευτών. Οι οργανισμοί που βασίζονται σε πλατφόρμες όπως το Canvas συχνά παρέχουν σε αυτές τις πλατφόρμες σημαντική πρόσβαση στα συστήματα πληροφοριών φοιτητών. Η επισκόπηση των δεδομένων που κοινοποιούνται, του τρόπου αποθήκευσής τους και των συμβατικών υποχρεώσεων ασφαλείας που έχουν οι προμηθευτές δεν είναι προαιρετική εργασία. Είναι απαραίτητη διαχείριση κινδύνου.

Το ευρύτερο πρόβλημα με την ασφάλεια στον εκπαιδευτικό τομέα

Η εκπαίδευση έχει σταθερά κατατάσσεται μεταξύ των πιο στοχευμένων τομέων στις αναφορές παραβίασης δεδομένων, ωστόσο τείνει επίσης να είναι μεταξύ των λιγότερο χρηματοδοτούμενων όσον αφορά τους προϋπολογισμούς και το προσωπικό κυβερνοασφάλειας. Σχολεία και πανεπιστήμια διαχειρίζονται τεράστιες ποσότητες προσωπικά αναγνωρίσιμων πληροφοριών ενώ συχνά λειτουργούν με παλαιά υποδομή, περιορισμένο προσωπικό IT και σφιχτούς οικονομικούς περιορισμούς.

Η παραβίαση της Instructure απεικονίζει τον σύνθετο κίνδυνο που προκύπτει από την κεντροποίηση δεδομένων χιλιάδων ιδρυμάτων μέσω μιας και μόνο πλατφόρμας. Όταν αυτή η πλατφόρμα γίνεται στόχος, η ακτίνα της έκρηξης είναι τεράστια. Μια παραβίαση που μπορεί να επηρεάσει ένα ίδρυμα μεμονωμένα επηρεάζει αντ' αυτού σχεδόν 9.000 ταυτόχρονα.

Αυτό δεν αποτελεί επιχείρημα κατά των πλατφορμών εκπαιδευτικής τεχνολογίας που βασίζονται στο cloud, οι οποίες προσφέρουν πραγματική αξία. Είναι επιχείρημα υπέρ της υπαγωγής αυτών των πλατφορμών στα υψηλότερα πρότυπα ασφαλείας και υπέρ της εφαρμογής από τα ιδρύματα πολυεπίπεδης ασφάλειας, συμπεριλαμβανομένης της επιβολής ελέγχου ταυτότητας πολλαπλών παραγόντων, της ελαχιστοποίησης της περιττής κοινοποίησης δεδομένων και της διατήρησης σαφών σχεδίων αντιμετώπισης περιστατικών.

Πρακτικά συμπεράσματα

Παρακολουθήστε τους λογαριασμούς σας. Προσέξτε για ασυνήθιστη δραστηριότητα σύνδεσης σε οποιουσδήποτε λογαριασμούς συνδέονται με το σχολείο ή το πανεπιστήμιό σας.
Ενημερώστε τους κωδικούς πρόσβασης. Αλλάξτε τα διαπιστευτήρια για τον λογαριασμό σας στο Canvas και για οποιεσδήποτε άλλες υπηρεσίες που μοιράζονται τον ίδιο κωδικό πρόσβασης.
Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων στους εκπαιδευτικούς σας λογαριασμούς, αν είναι διαθέσιμος.
Προσέξτε για phishing. Να είστε προσεκτικοί με ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυρίζονται ότι προέρχονται από το ίδρυμά σας ή απευθείας από την Instructure.
Γονείς: ελέγξτε το ψηφιακό αποτύπωμα του παιδιού σας. Σκεφτείτε να τοποθετήσετε πάγωμα πίστωσης στον αριθμό κοινωνικής ασφάλισης ανήλικου παιδιού αν βρίσκεστε στις ΗΠΑ, καθώς τα κλεμμένα δεδομένα μαθητών μπορούν να κατaχραστούν για χρόνια.
Ιδρύματα: ελέγξτε την πρόσβαση προμηθευτών. Εξετάστε σε ποια δεδομένα έχουν πρόσβαση τρίτες πλατφόρμες εκπαιδευτικής τεχνολογίας και βεβαιωθείτε ότι τα συμβόλαια περιλαμβάνουν σαφείς απαιτήσεις ασφαλείας και ειδοποίησης παραβίασης.

Η πλήρης έκταση της παραβίασης δεδομένων της Instructure βρίσκεται ακόμα σε εξέλιξη. Καθώς καθίστανται διαθέσιμες περισσότερες λεπτομέρειες, τα επηρεαζόμενα άτομα και ιδρύματα θα πρέπει να ακολουθούν τις επίσημες οδηγίες της Instructure και να παραμένουν σε εγρήγορση. Παραβιάσεις αυτής της κλίμακας απαιτούν χρόνο για να γίνουν πλήρως κατανοητές, αλλά τα παραπάνω βήματα μπορούν να μειώσουν την έκθεσή σας από σήμερα κιόλας.

// FAQ

Ποια εταιρεία παραβιάστηκε και για τι είναι γνωστή;

Η Instructure, η εταιρεία πίσω από το ευρέως χρησιμοποιούμενο σύστημα διαχείρισης μάθησης Canvas, επιβεβαίωσε την παραβίαση. Εξυπηρετεί εκπαιδευτικά ιδρύματα, συμπεριλαμβανομένων σχολείων Κ-12, κολεγίων, πανεπιστημίων και εταιρικών προγραμμάτων κατάρτισης.

Πόσες εγγραφές ισχυρίζονται οι ShinyHunters ότι έκλεψαν;

Οι ShinyHunters ισχυρίζονται ότι έκλεψαν 275 εκατομμύρια εγγραφές που ανήκουν σε μαθητές, εκπαιδευτικούς και άλλα άτομα από σχεδόν 9.000 εκπαιδευτικά ιδρύματα.

Ποιοι είναι οι ShinyHunters;

Οι ShinyHunters είναι μια ομάδα χάκερ με μακρά ιστορία μαζικής κλοπής δεδομένων, έχοντας στοχεύσει εταιρείες σε τομείς λιανικού εμπορίου, χρηματοοικονομικών, υγειονομικής περίθαλψης και τεχνολογίας. Η τυπική τους προσέγγιση περιλαμβάνει την κλοπή δεδομένων και την απειλή δημοσίευσής τους εκτός αν το θύμα πληρώσει λύτρα.

Τι είδη προσωπικών πληροφοριών ενδέχεται να έχουν εκτεθεί σε αυτή την παραβίαση;

Τα εκπαιδευτικά αρχεία που εμπλέκονται στην παραβίαση μπορεί να περιλαμβάνουν ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αναγνωριστικά ιδρύματος και πιο ευαίσθητες πληροφορίες που συνδέονται με ακαδημαϊκά ή διοικητικά συστήματα. Αυτά τα δεδομένα μπορούν να αξιοποιηθούν για phishing, απάτη ταυτότητας και επιθέσεις κοινωνικής μηχανικής.

Τι βήματα πρέπει να κάνουν οι χρήστες του Canvas;

Οι χρήστες θα πρέπει να είναι σε εγρήγορση για μηνύματα phishing σχεδιασμένα να μοιάζουν με επίσημες ανακοινώσεις από σχολεία ή γραφεία οικονομικής βοήθειας. Θα πρέπει επίσης να χρησιμοποιούν μοναδικούς, ισχυρούς κωδικούς πρόσβασης για εκπαιδευτικούς λογαριασμούς, κατά προτίμηση διαχειριζόμενους μέσω ενός διαχειριστή κωδικών πρόσβασης.