Kuinka monta tietuetta paljastui Canvas-tietomurrossa?

Yli 275 miljoonaa opiskelijoille ja opettajille kuuluvaa tietuetta paljastui, mikä tekee tästä yhden kaikkien aikojen suurimmista koulutussektorin tietomurroista.

Kuka oli vastuussa Canvas-tietomurrosta?

Hakkerointiryhmä ShinyHunters ilmoitti olevansa vastuussa Instructuren Canvas-alustan hyökkäyksestä.

Kuinka moni oppilaitos käyttää Canvasta maailmanlaajuisesti?

Canvasta käyttää lähes 9 000 oppilaitosta maailmanlaajuisesti, sekä K-12-kouluja että korkeakouluja.

Mitä oikeudellisia toimia Instructure kohtaa tietomurron jälkeen?

Instructure kohtaa aallon liittovaltion ryhmäkanteita, joissa kantajat väittävät, että yritys epäonnistui toteuttamaan riittäviä turvatoimia hallussaan pitämien arkaluonteisten tietojen suojaamiseksi.

Canvas-tietomurto: Instructure kohtaa oikeusjuttuja 275 miljoonan tietueen vuoksi

Q: Minkä tyyppisiä tietoja tietomurrossa paljastui?

Tietomurto paljasti nimiä, sähköpostiosoitteita, opiskelijanumeroja sekä yksityisiä viestejä, jotka kuuluivat opiskelijoille ja kasvattajille tuhansissa oppilaitoksissa.

Canvas-tietomurto: Instructure kohtaa oikeusjuttuja 275 miljoonan tietueen vuoksi

Canvas-tietomurron opiskelijoiden yksityisyyskriisi on edennyt teknisestä hätätilanteesta oikeudelliseksi. Instructure Inc., lähes 9 000 oppilaitoksen maailmanlaajuisesti käyttämän Canvas-oppimisenhallintajärjestelmän taustalla oleva yritys, kohtaa nyt aallon liittovaltion ryhmäkanteita. Kantajat väittävät, että yritys epäonnistui yli 275 miljoonan opiskelijan ja opettajan henkilötietojen riittävässä suojaamisessa, tehden tästä yhden kaikkien aikojen suurimmista koulutussektorin tietomurroista.

Miljoonille ihmisille, joilla ei ollut muuta vaihtoehtoa kuin käyttää Canvasia koulunsa tai yliopistonsa kautta, oikeudenkäynnit herättävät kysymyksen, joka ylittää pelkän oikeudellisen strategian: jos luottamasi instituutiot eivät pysty suojaamaan tietojasi, mitä sinä voit asialle oikeastaan tehdä?

Mitä Instructure teki väärin: turvallisuuspuutteet 275 miljoonan paljastuneen tietueen taustalla

Oikeusjutut keskittyvät tuttuun mutta vakavaan väitteeseen: Instructure tiesi tai sen olisi pitänyt tietää, että sen alusta sisälsi valtavan määrän arkaluonteisia henkilötietoja, eikä se toteuttanut riskiin suhteutettuja turvatoimia.

Hakkerointiryhmä ShinyHunters ilmoitti olevansa vastuussa hyökkäyksestä, ja tietomurto paljasti nimiä, sähköpostiosoitteita, opiskelijanumeroja sekä yksityisiä viestejä, jotka kuuluivat opiskelijoille ja kasvattajille tuhansissa oppilaitoksissa. Vaikuttuneiden yliopistojen ilmoitusten mukaan Instructure vahvisti, että ainakin osa näistä tiedoista oli poistettu ennen kuin tunkeutuminen saatiin hallintaan.

Ryhmäkanteiden kantajat väittävät, että tässä mittakaavassa toimivalla ja tämän kategorian tietoja hallussapitävällä alustalla oli velvollisuus toteuttaa vahvempia pääsynhallintakeinoja, salausstandardeja ja poikkeamien havaitsemista. Vertailut aiempiin sääntelytoimiin muita EdTech-tarjoajia vastaan viittaavat siihen, että oikeudellinen teoria ei ole uusi. Tuomioistuimet ja viranomaiset ovat yhä useammin todenneet, että opiskelijatietojen säilyttäminen edellyttää korotettua huolellisuusvelvollisuutta, erityisesti FERPA:n ja osavaltion tason tietosuojalakien nojalla.

Ketkä olivat osallisina ja mitkä tiedot ovat vaarassa

Tietomurto vaikutti käyttäjiin K-12-kouluissa ja korkeakouluissa Yhdysvalloissa ja kansainvälisesti. Yksilötasolla paljastuneet tiedot vaikuttavat ensisilmäyksellä tavallisilta, mutta ovat pahantahtoisille toimijoille erittäin hyödyllisiä. Nimet yhdistettynä institutionaalisiin sähköpostiosoitteisiin ja opiskelijanumeroihin ovat juuri se yhdistelmä, jota tarvitaan vakuuttavien phishing-viestien luomiseen tai luvattoman pääsyn saamiseen muihin koulujärjestelmiin.

Yksityisviestit ovat kokonaan erillinen huolenaihe. Monet opiskelijat ja opettajat käyttävät Canvas-viestintää arkaluonteisiin akateemisiin keskusteluihin, mukaan lukien arvosanoihin, erityisjärjestelyihin ja henkilökohtaisiin tilanteisiin liittyvät keskustelut. Se, että nämä tiedot ovat rikollisryhmän hallussa, luo riskejä, jotka ulottuvat paljon roskapostia tai tunnistetietojen täyttämistä pidemmälle.

Tapauksen ajoitus — joka osui monissa oppilaitoksissa loppukokeiden ajalle — pahensi vahinkoja. Koulut pyrkivät kiireesti palauttamaan pääsyn, kun opiskelijat kohtasivat keskeytyneitä opintoja ja kasvattajat menettivät pääsyn palautustietoihin ja arvosanakirjoihin. Toiminnallinen vahinko kulki yksityisyysvahingon rinnalla, ja vaikuttuneilla käyttäjillä oli välittömästi hyvin vähän keinoja puuttua tilanteeseen.

Miten ryhmäkanneoikeudenkäynnit muokkaavat EdTech-alan vastuullisuutta

Instructurea vastaan nostetut oikeusjutut heijastavat laajempaa muutosta siinä, miten tuomioistuimet ja kantajien asianajajat suhtautuvat EdTech-yrityksiin. Vuosien ajan koulutusteknologiasektori toimi suhteellisen rajallisella oikeudellisella altistumisella verrattuna esimerkiksi terveydenhuoltoon tai rahoitukseen. Tämä on muuttumassa.

Ryhmäkanneoikeudenkäynneistä tietomurtotapauksissa on tullut toteuttamiskelpoisempia, kun tuomioistuimet ovat yhä useammin todenneet, että henkilötietojen paljastuminen muodostaa konkreettisen vahingon, vaikka dokumentoitua taloudellista menetystä ei olisi. Väite siitä, että kantajia "ei ole vielä vahingoitettu", on heikentynyt, kun todisteita toissijaisista vahingoista, kuten phishing-uhriksi joutumisesta, identiteettivarkaudesta ja henkisestä kärsimyksestä, on tullut helpompi dokumentoida ja kvantifioida.

EdTech-tarjoajien osalta sääntelyvertailu on opettavainen. Aiemmat täytäntöönpanotoimet yrityksiä, kuten Googlea, ja koulutussovellusten kehittäjiä vastaan COPPA:n ja FERPA:n nojalla osoittivat, että opiskelijatiedot eivät ole kauppatavara, jota voidaan käsitellä huolimattomasti. Instructure-tapausten kantajien asianajajat nojaavat todennäköisesti tähän ennakkotapaukseen väittäessään, että yrityksen väitetyt turvallisuuspuutteet eivät olleet vain huolimattomia, vaan ennakoitavissa sen toimintaympäristön sääntelyn perusteella.

Jos oikeudenkäynti tuottaa merkittävän sovinnon tai tuomion, se voi asettaa uuden lähtötason sille, miltä "kohtuullinen tietoturva" näyttää alustoilla, jotka hallitsevat opiskelijatietueita laajassa mittakaavassa.

Miksi opiskelijat ja opettajat tarvitsevat omia yksityisyyssuojauksia luokkahuoneen ulkopuolella

Canvas-tietomurron korostama epämukava todellisuus on, että opiskelijoilla ja kasvattajilla ei ole juuri lainkaan sananvaltaa siihen, mitkä alustat heidän oppilaitoksensa ottavat käyttöön, ja silti he kantavat seuraukset, kun nämä alustat epäonnistuvat. Canvaksesta kieltäytyminen koulussa, joka vaatii sen käyttöä, ei ole useimmille ihmisille realistinen vaihtoehto.

Tämä epäsymmetria tekee henkilökohtaisesta yksityisyyshygieniasta entistä tärkeämpää. Muutamalla käytännön toimenpiteellä voit merkittävästi vähentää altistumistasi tällaisen tietomurron jälkeen.

Ensinnäkin, kohtele institutionaalista sähköpostiosoitettasi vaarantuneena. Odota phishing-yrityksiä, jotka viittaavat kouluusi, kursseihisi tai opiskelijanumeroosi. Suhtaudu epäilevästi kaikkiin viesteihin, joissa pyydetään vahvistamaan tunnistetietoja tai klikkaamaan linkkiä, vaikka viesti näyttäisi tulevan luotettavasta lähteestä.

Toiseksi, tarkista, ovatko tunnistetietosi ilmestyneet tunnettuihin tietomurtotietokantoihin. Jos olet käyttänyt Canvas-salasanaasi muualla, vaihda nämä salasanat välittömästi ja harkitse jatkossa erillisen salasananhallinnan käyttöä.

Kolmanneksi, harkitse henkilöllisyyden seurantapalveluita, jotka ilmoittavat sinulle uusista nimissäsi avatuista tileistä tai tietojesi ilmestymisestä pimeän verkon markkinapaikoille. Tämän kokoluokan tietomurroista peräisin olevat tiedot kiertävät ja nousevat esiin kuukausien ja vuosien ajan, ei vain välittömässä jälkimainingissa.

Lopuksi, VPN ei kumoa jo tapahtunutta tietomurtoa, mutta se suojaa liikennettäsi niissä institutionaalisissa ja julkisissa verkoissa, joissa suuri osa akateemisesta elämästäsi tapahtuu. Yhteyden salaaminen rajoittaa sitä, mitä verkkokerroksella voidaan siepata — ja tämä on yksi suojakerros, joka kannattaa ylläpitää riippumatta siitä, mitä mikä tahansa yksittäinen alusta tekee tai ei tee tallennetuilla tiedoillasi.

Mitä tämä tarkoittaa sinulle

Instructurea vastaan nostetut ryhmäkanteet ovat oikeudellinen prosessi, joka etenee kuukausien tai vuosien aikana. Se, tuottavatko ne merkityksellisiä muutoksia siihen, miten EdTech-yritykset hoitavat tietoturvaa, on avoin kysymys. Se, mikä on selvää juuri nyt, on että 275 miljoonalta ihmiseltä on varastettu tietoja järjestelmästä, jonka käyttöön heidät velvoitettiin, ja ne oppilaitokset, jotka tämän käytön määräsivät, osoittavat nyt toimittajaan, kun toimittaja on tuomioistuimessa.

Syvällisemmän katsauksen ShinyHunters-hyökkäyksen teknisiin yksityiskohtiin ja siihen, mitä tarkalleen ottaen vietiin, ShinyHunters Canvas -tietomurron analyysi käsittelee tapausta hyökkääjän metodologian näkökulmasta. Sen ymmärtäminen, miten tietomurto tapahtui, on ensimmäinen askel oman altistumisesi vähentämisessä ensi kerralla, kun käyttämäsi pakollinen alusta joutuu kohteeksi.

Arvioi henkilökohtainen tietohygieniasi nyt: kierrätä salasanat, seuraa henkilöllisyyttäsi, suhtaudu epäilevästi ei-toivottuihin kouluusi viittaaviin viesteihin ja tutustu päivittäin käyttämiisi verkkoihin ja laitteisiin sopiviin tietosuojatyökaluihin. Institutionaalinen vastuullisuus on tärkeää, mutta se etenee eri aikataululla kuin jo käynnissä olevat uhat.

Canvas-tietomurto: Instructure kohtaa oikeusjuttuja 275 miljoonan tietueen vuoksi

Mitä Instructure teki väärin: turvallisuuspuutteet 275 miljoonan paljastuneen tietueen taustalla

Ketkä olivat osallisina ja mitkä tiedot ovat vaarassa

Miten ryhmäkanneoikeudenkäynnit muokkaavat EdTech-alan vastuullisuutta

Miksi opiskelijat ja opettajat tarvitsevat omia yksityisyyssuojauksia luokkahuoneen ulkopuolella

Mitä tämä tarkoittaa sinulle

// UKK

// Aiheeseen liittyvät