Edustajainhuoneen sisäisen turvallisuuden valiokunta tutkii Canvas-opiskelijatietojen tietomurtoa

Edustajainhuoneen sisäisen turvallisuuden valiokunta tutkii Canvas-opiskelijatietojen tietomurtoa

Canvas-opiskelijatietojen tietomurron yksityisyyskriisi on saavuttanut Capitol Hillin. Edustajainhuoneen sisäisen turvallisuuden valiokunta on virallisesti käynnistänyt tutkinnan Instructurea vastaan, joka on laajalti käytetyn Canvas-oppimisenhallintajärjestelmän taustalla oleva yritys. Valiokunta vaatii selvitystä tietoturvapuutteista, jotka mahdollistivat kyberrikollisten opiskelijatietojen varastamisen ja kiristysuhkausten lähettämisen tuhansille oppilaitoksille.

Tämä kongressin toimenpide merkitsee merkittävää käännettä tietomurrossa, joka on jo järkyttänyt kouluja, häirinnyt loppukokeita ja paljastanut kymmeniin miljooniin opiskelijoihin liittyviä henkilötietoja. Vanhemmille, opiskelijoille ja opettajille viesti on selvä: tämä tapaus ei ole enää pelkästään teknologiayrityksen hiljaisesti hallinnoima ongelma.

Mitä edustajainhuoneen sisäisen turvallisuuden tutkinnan vaatimukset koskevat Instructurea

Edustajainhuoneen sisäisen turvallisuuden valiokunnan lainsäätäjät eivät odota, että Instructure tarjoaa vastauksia vapaaehtoisesti. Valiokunnan tutkinta keskittyy niihin tietoturvapuutteisiin, jotka mahdollistivat tietomurron, siihen, miten yritys reagoi tunkeutumisen havaittuaan, ja siihen, millaisia suojauksia on olemassa sen alustalla säilytettäville opiskelijatiedoille.

Se, että kongressin valiokunta on mukana asiassa, lisää virallista valvontapainetta, jota yrityksen ilmoituskirje ei yksinkertaisesti pysty tuottamaan. Instructuren on annettava yksityiskohtainen selvitys tietoturva-arkkitehtuuristaan, tapaukseen reagoimisen aikajanasta ja siitä, miten kiristysuhkauksia käsiteltiin. Tämänkaltaiset kongressin tukinnat voivat myös johtaa lainsäädäntötoimiin, mukaan lukien uusiin vaatimuksiin siitä, miten oppimistekniikan toimittajat säilyttävät ja suojaavat opiskelijatietoja.

Tietomurto on yhdistetty hakkerointiryhmä ShinyHuntersiin, joka otti vastuun yli 275 miljoonan opiskelijatietueen varastamisesta, mukaan lukien nimet, sähköpostiosoitteet, opiskelijanumerot ja yksityiset viestit. Ryhmä tehosti kampanjaansa aggressiivisesti siirtyen kauas pelkän tietojen varastamisen tuolle puolen.

Miksi opiskelijatietueet ovat kyberrikollisille arvokas kohde

Opiskelijatiedot eivät ehkä vaikuta yhtä välittömästi tuottoisilta kuin rahoitustilien tunnistetiedot, mutta ne ovat rikollismarkkinoilla huomattavan arvokkaita useista syistä. Nuorilla ihmisillä, mukaan lukien alaikäisillä, on usein puhtaat luottotiedot ja sosiaaliturvatunnukset, joita ei ole koskaan käytetty taloudelliseen petokseen. Tämä tekee heistä houkuttelevia identiteettivarkauden kohteita, joka voi jäädä huomaamatta vuosiksi.

Identiteettipetosten lisäksi sähköpostiosoitteita, opiskelijanumeroita ja yksityisiä viestejä sisältäviä tietueita voidaan käyttää tietojenkalastelukampanjoissa, tunnistetietojen täyttöhyökkäyksissä ja sosiaalisiin manipulointijärjestelmissä, jotka kohdistuvat sekä opiskelijoihin että heidän perheisiinsä. Kiristysuhkaukset, kuten tässä tietomurrossa esitetyt, kantavat myös psykologista painoa, kun uhrit ovat opiskelijoita, joilla on akateemisia määräaikoja.

ShinyHunters osoitti täsmälleen, kuinka aggressiiviseksi tämä toimintamalli voi muuttua. Kuten aiemmin raportoitiin, ryhmä turmelsi koulujen kirjautumisportaaleja lunnasviesteillä, muuttaen tietovarkauden näkyväksi, julkiseksi pelottelukampanjaksi, joka oli suunniteltu painostamaan oppilaitoksia maksamaan.

Miten oppimistekniikan toimittajat keräävät ja paljastavat arkaluonteisia opiskelijatietoja

Canvasia käyttää lähes 9 000 oppilaitosta maailmanlaajuisesti, mikä tarkoittaa, että yhden toimittajan tietomurrolla on moninkertaistava vaikutus, joka on lähes verraton millään muulla alalla. Kun yliopisto tallentaa opiskelijatiedot paikallisesti, tietomurto vaikuttaa kyseiseen kampukseen. Kun pilvipohjainen oppimisenhallintajärjestelmä vaarantuu, altistuminen laajenee tuhansiin kouluihin samanaikaisesti.

Oppimistekniikan alustat keräävät laajan valikoiman tietoja osana rutiininomaista toimintaansa. Tehtävien palautukset, opiskelijoiden ja ohjaajien väliset yksityiset viestit, kirjautumistoiminta, akateemisen suorituksen indikaattorit ja henkilökohtaisesti tunnistettavat tiedot käsitellään kaikki näiden järjestelmien kautta. Suuri osa tästä keräyksestä on välttämätöntä alustojen toiminnalle, mutta se luo keskittyneen tietoympäristön, joka on luonnostaan houkutteleva hyökkääjille.

Canvas-tietomurto paljasti myös, miten yksittäinen tapaus voi ketjuuntua. Toinen luvaton pääsy 7. toukokuuta pakotti yliopistot, mukaan lukien Penn State, peruuttamaan kokeita ja rajoittamaan alustan käyttöä, mikä osoittaa, että alkuperäiset väitteet rajoittamisesta eivät aina heijasta tunkeutumisen koko laajuutta.

Mitä yksityisyyttä arvostavat vanhemmat ja opiskelijat voivat tehdä juuri nyt

Kongressin valvonta on tärkeää, mutta institutionaalinen vastuullisuus etenee hitaasti. Sillä välin opiskelijat, vanhemmat ja opettajat voivat tehdä konkreettisia toimenpiteitä altistumisensa vähentämiseksi.

Tarkista, onko oppilaitoksesi ollut mukana. Ota yhteyttä koulusi IT-osastoon suoraan ja kysy, mitä tietoja on mahdollisesti paljastunut Canvasin kautta. Älä luota yksinomaan tietomurtoilmoituskirjeisiin, jotka voivat olla viivästyneitä tai puutteellisia.

Seuraa identiteettipetosten varalta, erityisesti alaikäisten osalta. Jos opiskelijan nimi, sähköposti ja opiskelijanumero ovat paljastuneet, harkitse luottopakastuksen asettamista heidän puolestaan. Alaikäisten kohdalla tämä jätetään usein huomiotta, koska lapsilla ei tyypillisesti ole aktiivisia luottotiedostoja, mutta juuri siksi heidän tietueensa ovat arvokkaita petollisille.

Vaihda salasanat ja ota käyttöön monivaiheinen tunnistautuminen. Kaikki tilit, jotka käyttivät samaa sähköposti- ja salasanayhdistelmää kuin Canvas-kirjautuminen, tulisi päivittää välittömästi. Ota monivaiheinen tunnistautuminen käyttöön sähköpostitileillä ja kaikilla koulutukseen liittyvillä alustoilla.

Ole valppaana tietojenkalasteluyrityksiä kohtaan. Paljastuneita sähköpostiosoitteita käytetään todennäköisesti jatkotietojenkalastelukampanjoissa. Opiskelijoiden ja vanhempien tulisi olla erityisen varovaisia sähköpostien suhteen, joissa pyydetään kirjautumistunnuksia, taloudellisia tietoja tai kiireellisiä toimia.

Käytä VPN:ää jaetuissa tai julkisissa verkoissa. Kampus- ja julkiset Wi-Fi-ympäristöt ovat yleisiä tunnistetietojen sieppaamisreittejä. Hyvämaineinen VPN lisää salauskerroksen, joka suojaa kirjautumistoimintaa verkoissa, joita et hallitse.

Edustajainhuoneen sisäisen turvallisuuden valiokunnan tutkinta on välttämätön askel kohti vastuullisuutta, mutta tulosten tuottaminen vie aikaa. Tämän tietomurron täydellisen alkuperän ja laajuuden ymmärtäminen — mukaan lukien se, miten ShinyHunters alun perin pääsi käsiksi Instructuren järjestelmiin ja mitä otettiin — on olennainen asiayhteys kenelle tahansa, joka arvioi omaa riskiään. Tietoisena pysyminen, tietojesi seuraaminen ja perussuojaustoimenpiteiden toteuttaminen nyt ovat tehokkaimmat käytettävissä olevat vastatoimet tutkinnan edetessä.