ShinyHunters väittää saaneensa 275 miljoonaa tietuetta Instructuren tietomurrossa

ShinyHunters väittää varastaneensa 275 miljoonaa tietuetta edtech-jätti Instructurelta

Koulutusteknologiayritys Instructure on vahvistanut tietomurron sen jälkeen, kun pahamaineinen ShinyHunters-hakkerointiryhmä uhkasi vuotaa tiedot, jotka se väittää varastaneensa lähes 9 000 oppilaitoksesta. Ryhmä väittää saaneensa haltuunsa 275 miljoonaa oppilaita, opettajia ja muita henkilöitä koskevaa tietuetta, mikä tekisi tästä yhden kaikkien aikojen suurimmista koulutussektorin tietomurroista, mikäli väitteet osoittautuvat todeksi.

Instructure, joka tunnetaan parhaiten laajasti käytetystä Canvas-oppimisenhallintajärjestelmästään, ei ole vielä julkisesti vahvistanut kaikkea sitä, mihin on päästy käsiksi. Yritys ilmoitti tapauksesta ShinyHuntersin kiristyspaineessa. ShinyHunters on ryhmä, jolla on pitkä historia laajamittaisesta tietovarkaudesta ja julkisista vuotouhkauksista, joilla pakotetaan organisaatiot maksamaan lunnaita.

Kuka on ShinyHunters ja miksi sinun pitäisi välittää siitä

ShinyHunters ei ole tuntematon nimi kyberturvallisuuspiireissä. Ryhmä on yhdistetty kymmeniin korkean profiilin tietomurtoihin viime vuosien aikana, ja sen kohteina ovat olleet yritykset vähittäiskaupan, rahoituksen, terveydenhuollon ja teknologian aloilta. Ryhmän tyypillinen toimintatapa on suuren määrän käyttäjätietojen varastaminen ja uhkaus julkaista ne pimeän verkon foorumeilla, ellei kohdeorganisaatio maksa.

Tämän tapauksen tekee erityisen merkittäväksi väitetyn varkauden suuri mittakaava ja vaikutusalueen herkkä väestöryhmä. Oppilaat, joista monet ovat alaikäisiä, muodostavat poikkeuksellisen haavoittuvan ryhmän. Koulutusrekisterit voivat sisältää nimiä, sähköpostiosoitteita, oppilaitostunnuksia ja joissain tapauksissa arkaluonteisempaa tietoa, joka liittyy akateemisiin tai hallinnollisiin järjestelmiin. Tällaista tietoa voidaan hyödyntää tietojenkalastelukampanjoissa, identiteettipetoksissa ja sosiaalisen manipuloinnin hyökkäyksissä, jotka saattavat tulla ilmi vasta kuukausien tai vuosien kuluttua alkuperäisestä murrosta.

Lähes 9 000 oppilaitoksen osallisuus tarkoittaa myös, että altistuminen on maantieteellisesti ja organisatorisesti laajaa, kattaen peruskoulut, lukiot, korkeakoulut, yliopistot ja mahdollisesti yritykset, jotka käyttävät Canvasia henkilöstökoulutukseen.

Mitä tämä tarkoittaa sinulle

Jos sinä tai lapsesi opiskelevat koulussa, korkeakoulussa tai yliopistossa, joka käyttää Instructuren Canvas-alustaa, tietosi ovat saattaneet olla osallisena tapauksessa. Tässä vaiheessa on syytä ryhtyä useisiin varotoimiin riippumatta siitä, saatko virallisen ilmoituksen vai et.

Ensinnäkin ole valppaana tietojenkalasteluyritysten suhteen. Hyökkääjät, jotka saavat sähköpostiosoitteita murretuista tietokannoista, lähettävät usein kohdennettuja sähköposteja, jotka on suunniteltu näyttämään koulujen, opintotukitoimistojen tai teknologiantarjoajien viralliselta viestinnältä. Kaikkiin odottamattomiin sähköposteihin, joissa pyydetään klikkaamaan linkkiä, vahvistamaan tunnistetiedot tai päivittämään maksutiedot, tulee suhtautua epäillen.

Toiseksi harkitse yksilöllisten, vahvojen salasanojen käyttämistä kaikissa oppilaitokseen liittyvissä tileissä. Salasananhallintaohjelma helpottaa useiden kirjautumistietojen hallintaa. Jos koulutilin salasana on sama kuin muissa palveluissa, vaihda nämä salasanat nyt.

Kolmanneksi alaikäisten oppilaiden vanhempien tulisi olla erityisen tarkkaavaisia. Lasten tiedot ovat erityisen arvokkaita huijareille, koska niitä seurataan usein vuosia, mikä antaa rikollisille pitkän ikkunan niiden väärinkäyttöön ennen kuin kukaan huomaa mitään.

Oppilaitosten IT-hallinnoijien ja tietoturvatiimien kannalta tämä tietomurto muistuttaa kolmannen osapuolen toimittajien käyttöoikeuksien auditoimisen tärkeydestä. Organisaatiot, jotka nojautuvat Canvasin kaltaisiin alustoihin, myöntävät usein näille alustoille merkittävän pääsyn opiskelijatietojärjestelmiin. Sen tarkastaminen, mitä tietoja jaetaan, miten niitä säilytetään ja mihin sopimusten mukaisiin tietoturvavelvoitteisiin toimittajat on sidottu, ei ole valinnaista työtä. Se on välttämätöntä riskienhallintaa.

Laajempi ongelma koulutussektorin tietoturvassa

Koulutus on johdonmukaisesti sijoittunut tietomurtoraporttejen eniten kohdennettujen sektoreiden joukkoon, mutta se kuuluu myös niihin sektoreihin, joilla on vähiten resursseja kyberturvallisuusbudjettien ja henkilöstön osalta. Koulut ja yliopistot hallitsevat valtavia määriä henkilökohtaisesti tunnistettavaa tietoa, toimien usein vanhentuneella infrastruktuurilla, rajallisella IT-henkilöstöllä ja tiukkojen taloudellisten rajoitusten alaisina.

Instructuren tietomurto havainnollistaa kumuloituvaa riskiä, joka syntyy, kun tiedot keskitetään tuhansille oppilaitoksille yhden alustan kautta. Kun tästä alustasta tulee kohde, räjähdyssäde on valtava. Murto, joka eristettynä saattaisi koskettaa yhtä oppilaitosta, koskettaakin lähes 9 000 oppilaitosta samanaikaisesti.

Tämä ei ole argumentti pilvipohjaisia edtech-alustoja vastaan, jotka tuottavat todellista lisäarvoa. Se on argumentti sen puolesta, että näitä alustoja tulisi pitää tiukimpien tietoturvastandardien mukaisina, ja että oppilaitosten tulisi noudattaa kerrostettua tietoturvaa, mukaan lukien monivaiheisen tunnistautumisen käyttöönotto, tarpeettoman tietojenjakamisen minimoiminen ja selkeiden tapaturmien reagointisuunnitelmien ylläpitäminen.

Toiminnalliset johtopäätökset

• Seuraa tilejäsi. Tarkkaile epätavallista kirjautumistoimintaa koulusi tai yliopistosi kanssa liittyvissä tileissä.
• Päivitä salasanat. Vaihda Canvas-tilisi ja muiden samaa salasanaa käyttävien palveluiden tunnistetiedot.
• Ota käyttöön monivaiheinen tunnistautuminen koulutustileillesi, jos se on saatavilla.
• Varo tietojenkalastelua. Suhtaudu varoen pyytämättömiin sähköposteihin, jotka väittävät olevansa oppilaitokseltasi tai suoraan Instructurelta.
• Vanhemmat: tarkista lapsesi digitaalinen jalanjälki. Harkitse luottopakastuksen asettamista alaikäisen lapsen henkilötunnukselle, jos olet Yhdysvalloissa, sillä varastettuja opiskelijatietoja voidaan käyttää väärin vuosien ajan.
• Oppilaitokset: auditoi toimittajien käyttöoikeudet. Tarkista, mihin tietoihin kolmannen osapuolen edtech-alustat voivat päästä käsiksi, ja varmista, että sopimuksissa on selkeät tietoturva- ja tietomurtoilmoitusvaatimukset.

Instructuren tietomurron täysi laajuus on vielä selvityksen alla. Kun lisää yksityiskohtia tulee saataville, vaikutusalueella olevien henkilöiden ja oppilaitosten tulisi seurata Instructuren virallisia ohjeita ja pysyä valppaana. Tämän mittakaavan murtojen täysi ymmärtäminen vie aikaa, mutta yllä kuvatut toimenpiteet voivat vähentää altistumistasi jo tänään.