Minkä tyyppisiä tietoja varastettiin Instructure Canvasin tietomurrossa?

Vaarantunut data sisältää nimiä, sähköpostiosoitteita ja opiskelijanumeroita, ja on viitteitä siitä, että myös alustan viestintään, opintosuorituksiin, kurssimateriaaleihin ja oppilaitoksen sisäisiin viesteihin on saatettu päästä käsiksi.

Ketä Canvas-tietomurto koskee?

Tietomurto vaikutti käyttäjiin kaikilla koulutustasoilla, mukaan lukien kandidaattiopiskelijat, jatkotutkijat, opetushenkilökunnan jäsenet ja hallinnollinen henkilöstö tuhansissa institutionaalisissa asiakasorganisaatioissa kymmenissä maissa.

Ratkaiseeko Instructuren lunnasmaksu ShinyHuntersille tietomurron?

Ei, lakiasiantuntijat varoittavat, että lunnaan maksaminen vain vähensi välitöntä uhkaa julkisesta tietovuodosta eikä täytä tietomurtoilmoitusvelvoitteita tai vahvista, että varastettu data on pysyvästi poistettu.

Voiko Instructure varmistaa, että ShinyHunters tuhosi varastetun datan maksun jälkeen?

Riippumatonta varmistusta siitä, että data tuhottiin, ei ole olemassa, sillä ei ole luotettavaa mekanismia, jolla voitaisiin vahvistaa, ettei uhkatekijä ole säilyttänyt kopioita, jakanut dataa tai myynyt pääsyä maanalaisille markkinoille ennen sovintoa.

Miksi ShinyHunters-ryhmää pidetään merkittävänä jatkuvana riskinä?

ShinyHuntersilla on dokumentoitu historia laajamittaisista tietomurroista ja datan kaupallistamisesta, mikä tarkoittaa, että yksilöllinen ja institutionaalinen riski ei välttämättä katoa pelkästään sen vuoksi, että rahallinen sopimus on saavutettu.

Instructure Canvasin tietomurto: Mitä opiskelijat kohtaavat yhä edelleen

Instructure Canvasin tietomurto on järkyttänyt korkeakouluja ympäri maata, mutta lunnasmaksu ShinyHunters-hakkerointiryhmälle ei ole sulkenut kirjaa tästä tapauksesta. Lakiasiantuntijat varoittavat nyt, että maksaminen varastetun tiedon tukahduttamiseksi ei ole sama asia kuin niiden taustalla olevien velvoitteiden täyttäminen, joita kouluilla, yliopistoilla sekä niiden palvelemilla opiskelijoilla ja henkilökunnalla on edelleen. Miljoonille ihmisille, joiden tiedot kulkivat Canvasin kautta, tarina on kaukana ohi.

Mitä todella varastettiin ja ketä asia koskee

Tapauksesta tehtyjen raporttien mukaan vaarantunut data sisältää nimiä, sähköpostiosoitteita ja opiskelijanumeroita tuhansien institutionaalisten asiakkaiden osalta kymmenissä maissa. Tietomurto kohdistui ilmeisesti Canvas-infrastruktuurin taustaosaan, mikä tarkoittaa, että altistuminen ei rajoittunut yhteen kouluun tai alueeseen. Canvasin toimiessa yhtenä Yhdysvaltojen laajimmin käytetyistä oppimisenhallintajärjestelmistä mahdollisesti vaikutuksen alaisten henkilöiden joukko on valtava.

Perustunnistetietojen lisäksi on viitteitä siitä, että myös Canvas-alustan sisäisiin viesteihin on saatettu päästä käsiksi. Tällä yksityiskohdalla on merkitystä, sillä se laajentaa altistumisen laajuutta pelkkiä yhteystietoja pidemmälle. Opintosuoritukset, kurssimateriaalit ja institutionaaliset sisäiset viestit saattoivat kaikki kuulua niihin tietoihin, jotka kerättiin ennen kuin Instructure havaitsi tunkeutumisen.

Tietomurto vaikutti käyttäjiin kaikilla koulutustasoilla, kandidaattiopiskelijoista jatkotutkijoihin, opetushenkilökuntaan ja hallinnolliseen henkilöstöön. Jokaisen henkilön, joka on ollut yhteydessä Canvasiin jollakin vaikutuksen alaisella oppilaitoksella kyseessä olevan ajanjakson aikana, tulisi pitää henkilötietojaan mahdollisesti vaarantuneina.

Miksi lunnasmaksaminen ei päätä altistumistasi

Kun Instructure saavutti rahallisen sovinnon ShinyHunters-ryhmän kanssa, välitön uhka julkisesta tietovuodosta väheni. Lakianalyytikot kuitenkin huomauttavat nopeasti, että tämä järjestely koskee vain yhtä siivua paljon laajemmasta ongelmasta. Kuten Instructuren lunnasmaksusta ShinyHuntersille käy yksityiskohtaisesti ilmi, yhtiö vahvisti rahallisen sopimuksen, mutta vahvistusta siitä, että data on pysyvästi poistettu, ei ole riippumattomasti varmennettu.

Tämä on ratkaiseva ero. Lunnaan maksaminen ostaa hiljaisuuden, ei varmuutta. Ei ole luotettavaa mekanismia, jolla voitaisiin varmistaa, että uhkatekijä on tuhonnut varastetun datan sen sijaan, että se olisi säilyttänyt kopioita, jakanut sen muille osapuolille tai myynyt pääsyn maanalaisille markkinoille ennen sovinnon saavuttamista. ShinyHunters-ryhmällä on dokumentoitu historia laajamittaisista tietomurroista ja datan kaupallistamisesta, mikä tarkoittaa, että institutionaalinen ja yksilöllinen riski ei yksinkertaisesti katoa sen vuoksi, että sopimus on allekirjoitettu.

Sääntelynäkökulmasta lunnasmaksu ei myöskään täytä tietomurtoilmoitusvelvoitteita. Yhdysvalloissa lait kuten FERPA, osavaltiotason tietosuojasäädökset ja alakohtaiset määräykset asettavat itsenäisiä velvoitteita oppilaitoksille, jotka hallitsevat opiskelijatietoja. Hakkerille maksaminen ei tarkoita ilmoittamista valvontaviranomaiselle.

Ilmoitusvaje: Mitä koulujen ja yliopistojen on yhä tehtävä

Tässä kohtaa vaatimustenmukaisuustilanne monimutkaistuu tuhansille Canvasia käyttäville oppilaitoksille. Instructure on toimittaja, ei useimpien opiskelijatietojen rekisterinpitäjä. Yksittäisillä yliopistoilla, korkeakouluilla ja koulupiireillä on omat oikeudelliset velvollisuutensa ilmoittaa vaikutuksen alaisille henkilöille ja monissa tapauksissa myös asiaankuuluville valvontaelimille.

Tilannetta analysoivat lakiasiantuntijat ovat huomauttaneet, että institutionaaliset asiakkaat eivät voi nojata Instructuren toimiin – mukaan lukien lunnasmaksuun – korvaamaan omia ilmoitusvelvollisuuksiaan. Monet oppilaitokset toimivat osavaltiotason tietomurtoilmoituslakien alaisuudessa, jotka edellyttävät tiedottamista tietyissä aikarajoissa siitä, kun tietomurto on vahvistettu. Jotkut näistä kellosta saattavat jo käydä.

FERPA:n alaisille oppilaitoksille opiskelijan opintoasiakirjojen paljastuminen tuo erityisiä vaatimuksia siitä, miten ja milloin vaikutuksen alaisille opiskelijoille on tiedotettava. Jatkotutkimusoppilaitoksilla saattaa olla lisävelvoitteita, jos tutkimusdata tai liittovaltion rahoittamien hankkeiden tiedot olivat saatavilla Canvas-viestinnän kautta. Kerroksinen sääntelyympäristö tarkoittaa, että jokainen oppilaitos tarvitsee oman oikeudellisen arvionsa eikä voi nojata yleisesti Instructuren julkisiin lausumiin.

Ilmoitusvaje on erityisen selvä niille opiskelijoille ja henkilökunnan jäsenille, jotka eivät ole vielä saaneet suoraa yhteydenottoa oppilaitokseltaan. Jos koulusi ei ole ottanut sinuun yhteyttä, tuo hiljaisuus ei tarkoita, että tietosi olisivat olleet suojassa.

Käytännön toimenpiteet, joita opiskelijat ja henkilökunta voivat tehdä heti nyt

Institutionaalisen ilmoituksen odottaminen ei ole täydellinen strategia. On konkreettisia toimenpiteitä, joita yksilöt voivat tehdä nyt vähentääkseen jatkuvaa altistumista.

Ensinnäkin, tarkkaile Canvas-tiliiisi liitettyjä sähköpostitilejä tietojenkalasteluyrityksiä varten. Varastettuja sähköpostiosoitteita ja nimiä käytetään usein vakuuttavien kohdennettujen tietojenkalasteluviestien luomiseen, jotka usein esiintyvät yliopiston IT-osastona tai opintotukirahastona. Suhtaudu kaikkiin odottamattomiin pyyntöihin tunnistetiedoista tai henkilötiedoista korostuneella epäluulolla.

Toiseksi, vaihda salasanat kaikilla tileillä, joilla oli samat tunnistetiedot kuin Canvas-kirjautumisessasi. Salasanojen uudelleenkäyttö on edelleen yksi yleisimmistä tavoista, joilla yksittäinen tietomurto leviää useisiin tilikaappauksiin. Jos käytit samaa salasanaa muualla, päivitä nämä tilit välittömästi ja ota käyttöön monivaiheinen tunnistautuminen aina kun se on saatavilla.

Kolmanneksi, harkitse luottopakastuksen asettamista suurimpien luottotietotoimistojen kanssa, jos opiskelijanumerosi kuului vaarantuneisiin tietoihin. Opiskelijanumeroita voidaan joskus yhdistää muihin tietopisteisiin identiteettivarkauden mahdollistamiseksi, erityisesti opintolaina- tai opintotukirahastotileihin liittyvissä yhteyksissä.

Neljänneksi, pyydä kopio koulusi tietomurtotiedotussuunnitelmasta tai kysy suoraan oppilaitoksesi IT-osastolta tai opintorekisteristä, mitä tietoja vaikutus koski ja mitä toimenpiteitä he toteuttavat. Sinulla on oikeus näihin tietoihin, ja tiedustelusi luo asiakirjajäljen, joka saattaa olla merkityksellinen, jos oikeudellisia menettelyjä seuraa.

Instructure Canvasin tietomurto muistuttaa siitä, että laajamittaisilla koulutusalustoilla on merkittäviä tietosuojariskejä kaikille niiden käyttäjille. Lunnasmaksu on saattanut tilapäisesti vähentää yhtä riskiä, mutta se ei ratkaissut taustalla olevaa altistumista vaikutuksen alaisten oppilaitosten opiskelijoille ja henkilökunnalle. Pysyminen ajan tasalla oppilaitoksesi velvoitteista ja itsenäisten suojelutoimenpiteiden toteuttaminen on tehokkain etenemistapa tällä hetkellä.