Toinen Canvas-tietomurto häiritsee tenttejä Penn Statessa ja muualla

Toinen luvaton pääsyä koskeva tapaus, joka kohdistui Instructuren Canvas-oppimisalustaan 7. toukokuuta, on järkyttänyt korkeakoulumaailmaa ja pakottanut yliopistot – Penn State mukaan lukien – perumaan tenttejä, rajoittamaan alustan käyttöä ja etsimään kiireesti varasuunnitelmia. Canvas-tietomurto, joka vaikuttaa kouluihin ja yliopistoihin, merkitsee huolestuttavaa eskalaatiota hyökkäyksissä keskitettyjä oppimisalusteknologioita vastaan, asettaen miljoonien opiskelijoiden arkaluonteiset akateemiset ja henkilökohtaiset tiedot suoraan tulilinjalle.

Mitä tapahtui toisessa Instructure-tietomurrossa

Instructure vahvisti 7. toukokuuta toisen luvattoman pääsyn tapauksen, joka vaikutti sen Canvas-oppimisenhallintajärjestelmään. Vaikka täydelliset tekniset yksityiskohdat ovat edelleen rajalliset, tietomurto seurasi pian aiempaa tapausta, mikä viittaa siihen, että joko alkuperäistä haavoittuvuutta ei ollut täysin korjattu tai hyökkääjät löysivät uuden väylän alustan infrastruktuuriin.

Instructure ilmoitti, että ongelma lopulta ratkaistiin ja Canvas palasi täyteen toimintakuntoon, eikä paljastushetkellä ollut todisteita jatkuvasta luvattomasta pääsystä. Tämä vakuuttelu ei kuitenkaan juuri rauhoittanut tuhansissa kouluissa vallitsevaa huolta – kouluissa, jotka ovat riippuvaisia Canvasista kurssien tarjoamisessa, arvioinnissa ja arkaluonteisten opiskelijatietojen tallentamisessa.

Tämä toinen tapaus on osa laajempaa hyökkäysmallia Instructurea vastaan. Kuten artikkelissa ShinyHunters Breach Hits Instructure Canvas: Students Exposed kerrotaan, tunnettu ShinyHunters-hakkeriryhmä vahvisti aiemmin tietomurron, joka vaikutti miljooniin opiskelijoihin ja opettajiin ympäri maailman. Toukokuun 7. päivän tapaus pahentaa tätä aiempaa murtoa ja herättää kysymyksiä siitä, tehtiinkö välillä riittäviä tietoturvaparannuksia.

Mihin kouluihin vaikutettiin ja miten

Penn Staten yliopisto oli yksi eniten kärsineistä oppilaitoksista: se peruutti suunnitellut tentit ja rajoitti väliaikaisesti henkilökunnan ja opiskelijoiden pääsyä Canvasiin. Ajoitus osoittautui erityisen vahingolliseksi, sillä tietomurto osui ajankohtaan, jolloin monissa yliopistoissa ja korkeakouluissa oltiin kesken loppukokoukauden, jolloin opiskelijat ovat eniten riippuvaisia alustasta tehtävien palautuksessa, kurssimateriaalien käytössä ja verkkokokeiden suorittamisessa.

Penn Staten lisäksi myös Kalifornian University of California- ja California State University -järjestelmiin kerrottiin kohdistuneen vaikutuksia, samoin kuin Virginian ja muiden osavaltioiden oppilaitoksiin. Tietomurron kansainvälinen laajuus, joka kosketti yliopistoja ympäri maailman, korostaa, kuinka syvälle Canvas on juurtaunut akateemiseen infrastruktuuriin maailmanlaajuisesti.

Opiskelijoille käytännön seuraukset ylittivät menetetyn määräajan. Tenttiperuutukset aiheuttivat aikataulukaaosta valmistuville opiskelijoille ja niille, joilla oli aikakriittisiä akateemisia vaatimuksia. Henkilökunta kohtasi haasteen viestiä opiskelijoille varakanavien kautta lyhyellä varoitusajalla, ja hallintohenkilöstön täytyi tehdä nopeita päätöksiä siitä, luotetaanko alustaan aktiivisen tutkinnan aikana.

Miksi keskitetyt oppimisalustat ovat tietosuojariski

Instructuren toistuva kohtaaminen hyökkäysten kohteena korostaa rakenteellista ongelmaa modernissa oppimisalusteknologiassa: tuhansien oppilaitosten arkaluonteisten tietojen keskittyminen yhden toimittajan infrastruktuurille. Canvas palvelee arviolta 9 000 tai useampaa oppilaitosta maailmanlaajuisesti. Tämä mittakaava luo erittäin arvokkaan kohteen kyberrikollisille, koska yhdellä onnistuneella murrolla voidaan saada haltuun akateemisia tietoja, henkilökohtaisesti tunnistettavia tietoja ja mahdollisesti taloudellisia tietoja miljoonilta henkilöiltä kerralla.

Tämä on yhden vikakohdan määritelmä. Kun koulutusjärjestelmä pyörittää omaa paikallista infrastruktuuriaan, tietomurto on vahingollinen mutta rajattu. Kun tuhannet koulut ulkoistavat tietonsa yhdelle alustalle, minkä tahansa hyökkäyksen tuhosäde kasvaa valtavaksi. ShinyHunters-ryhmä tunnisti tämän, kun he kertoivat saaneensa käsiinsä lähes 275 miljoonaa tietuetta liittyvässä Instructure-tapauksessa, kuten käsitellään artikkelissa ShinyHunters Claims 275M Records in Instructure Breach.

Sääntelykehykset, kuten Yhdysvaltain FERPA, velvoittavat oppilaitoksia suojelemaan opiskelijatietoja, mutta velvoitteet ja täytäntöönpanomekanismit mutkistuvat, kun tietoja säilytetään kolmannen osapuolen toimittajalla. Koulut saattavat kohdata vastuukysymyksiä, vaikka ne eivät olleetkaan hyökkäyksen suoria kohteita.

Miten opiskelijat ja henkilökunta voivat suojata arkaluonteisia akateemisia tietojaan

Vaikka institutionaaliset tietoturvapäätökset kuuluvat hallintohenkilöstölle ja IT-osastoille, opiskelijat ja henkilökunta voivat ottaa konkreettisia askeleita henkilökohtaisen altistumisensa vähentämiseksi.

Käytä vahvoja, yksilöllisiä salasanoja. Jos käytät samaa salasanaa useilla alustoilla ja Canvas-tunnuksesi vaarantuvat, hyökkääjät voivat yrittää tunnistetietojen täyttöhyökkäyksiä sähköpostiisi, pankkitileihisi tai muihin tileihisi. Käytä salasanahallintaohjelmaa yksilöllisten tunnistetietojen luomiseen ja tallentamiseen jokaiselle palvelulle.

Ota monivaiheinen tunnistautuminen käyttöön aina kun mahdollista. Canvas ja useimmat institutionaaliset SSO-järjestelmät tukevat MFA:ta. Sen aktivointi tarkoittaa, että pelkkä varastettu salasana ei riitä hyökkääjälle tilillesi pääsyyn.

Ole valppaana tietojenkalasteluyrityksiä kohtaan. Suuren tietomurron jälkeen hyökkääjät lähettävät usein jatko-tietojenkalasteluviestejä esiintyen kyseisen alustan tai oppilaitoksen nimissä. Suhtaudu skeptisesti kaikkiin pyytämättömiin sähköposteihin, jotka pyytävät sinua nollaamaan tunnistetiedot tai vahvistamaan tilin tiedot. Siirry suoraan viralliseen institutionaaliseen URL-osoitteeseen sen sijaan, että napsautat sähköpostilinkkejä.

Seuraa akateemisia ja henkilökohtaisia tietojasi. Jos oppilaitoksesi vahvistaa, että tietosi sisältyivät tietomurtoon, harkitse luottojäädytyksen asettamista ja seuraa mahdollisia henkilöllisyyden väärinkäytön merkkejä. Akateemisia tietoja ja opiskelijatunnuksia voidaan käyttää kohdennetuissa manipulointihyökkäyksissä.

Pyydä oppilaitokseltasi tarkempia tietoja. Kouluilla on FERPA:n mukainen velvoite ilmoittaa opiskelijoille heidän tietojaan koskevista tietomurroista. Älä odota passiivisesti; ota yhteyttä rekisteritoimistoon tai IT-osastoon ja kysy suoraan, mitä tietoja oli mukana ja mitä suojatoimenpiteitä tehdään puolestasi.

Mitä tämä tarkoittaa sinulle

Toinen Canvas-tietomurto, joka vaikuttaa kouluihin ja yliopistoihin, muistuttaa siitä, että mukavuuteen ja keskittämiseen liittyy kompromisseja. Miljoonat opiskelijat luottivat siihen, että heidän akateemiset oppilaitoksensa – ja näiden oppilaitosten käyttämät toimittajat – turvaavat heidän henkilökohtaiset tietonsa. Tähän luottamukseen on kohdistunut koetus kahdesti lyhyen ajan sisällä.

Opiskelijoille ja opettajille käytännön prioriteetti on nyt henkilökohtaisten tilien suojaaminen ja valppaana pysyminen jatkohyökkäysten varalta. Oppilaitosten osalta tietomurron tulisi kannustaa vakavaan arvioon toimittajien tietoturvavaatimuksista, tietojen minimointikäytännöistä ja varasuunnitelmista tilanteisiin, joissa kolmannen osapuolen alustat kaatuvat tai vaarantuvat.

Ymmärtääksesi täyden laajuuden Instructureen liittyvistä hyökkäyksistä ja niihin osallistuneista uhkatoimijoista, tutustu yllä linkitettyyn yksityiskohtaiseen ShinyHunters-tietomurtokatsaukseen. Näiden tapausten alkuperän ja menetelmien tunteminen on ensimmäinen askel kohti vahvempien suojausten vaatimista niiltä alustoilta, joihin sinä ja oppilaitoksesi luotatte päivittäin.