Drugi proboj podataka na Canvasu ometa ispite na Penn Stateu i šire

Drugi incident neovlaštenog pristupa koji je pogodio Instructureovu platformu Canvas 7. svibnja uzrokovao je potrese u visokom obrazovanju, prisiljavajući sveučilišta uključujući Penn State da otkazuju ispite, ograničavaju pristup platformi i hitno traže planove za nepredviđene situacije. Proboj podataka na Canvasu koji je pogodio škole i fakultete predstavlja alarmantnu eskalaciju napada na centraliziranu obrazovnu tehnologiju, stavljajući osjetljive akademske i osobne podatke milijuna studenata izravno na metu.

Što se dogodilo u drugom proboju Instructurea

Dana 7. svibnja, Instructure je potvrdio drugi incident neovlaštenog pristupa koji je zahvatio njihov sustav za upravljanje učenjem Canvas. Iako su potpuni tehnički detalji ostali ograničeni, proboj je uslijedio neposredno nakon prethodnog incidenta, što sugerira da ili izvorna ranjivost nije bila u potpunosti otklonjena ili su napadači pronašli novi put u infrastrukturu platforme.

Instructure je izjavio da je problem naposljetku riješen i da se Canvas vratio u potpuno operativno stanje, bez dokaza o tekućem neovlaštenom pristupu u trenutku objave. Međutim, ta je tvrdnja malo pomogla u smirivanju alarma među tisućama škola koje se oslanjaju na Canvas za isporuku tečajeva, procjene i pohranu osjetljivih studentskih zapisa.

Ovaj drugi incident dio je šireg obrasca napada na Instructure. Kako je opisano u ShinyHunters proboj pogađa Instructure Canvas: Studenti izloženi, ozloglašena hakerska skupina ShinyHunters prethodno je potvrdila proboj koji je zahvatio milijune studenata i nastavnog osoblja u institucijama diljem svijeta. Incident od 7. svibnja produbljuje taj raniji kompromis, postavljajući pitanja o tome jesu li u međuvremenu provedena adekvatna sigurnosna poboljšanja.

Koje su škole bile pogođene i na koji način

Sveučilište Penn State bilo je jedna od najistaknutijih pogođenih institucija, otkazavši zakazane ispite i privremeno ograničivši pristup Canvasu za nastavno osoblje i studente. Vremenski raspored pokazao se posebno štetnim jer je proboj pogodio u razdoblju kad su mnogi fakulteti i sveučilišta bili usred završnog ispitnog razdoblja, kada se studenti najviše oslanjaju na platformu za predaju zadataka, pristup materijalima tečajeva i polaganje online provjera znanja.

Osim Penn Statea, prijavljeno je da su bili pogođeni i sustavi Sveučilišta Kalifornije i Državnog sveučilišta Kalifornije, zajedno s institucijama diljem Virginije i drugih saveznih država. Međunarodni opseg proboja, koji je dotaknuo sveučilišta diljem svijeta, naglašava koliko je duboko Canvas ukorijenjen u akademsku infrastrukturu na globalnoj razini.

Za studente, praktične posljedice nadilazile su propušteni rok. Otkazivanje ispita stvorilo je kaos u rasporedu za studente koji završavaju studij i one s vremenski osjetljivim akademskim zahtjevima. Nastavno osoblje suočilo se s izazovom komuniciranja sa studentima putem rezervnih kanala u kratkom roku, a administratori su morali brzo donositi odluke o tome treba li vjerovati platformi dok je bila u tijeku aktivna istraga.

Zašto su centralizirane ed-tech platforme rizik za privatnost

Ponovljeno ciljanje Instructurea ističe strukturalni problem u modernoj obrazovnoj tehnologiji: koncentraciju osjetljivih podataka tisuća institucija na infrastrukturu jednog dobavljača. Canvas poslužuje procijenjenih 9.000 ili više obrazovnih institucija globalno. Taj razmjer stvara izuzetno vrijednu metu za kibernetičke kriminalce, jer jedan uspješni proboj može u jednom trenutku donijeti akademske zapise, osobne podatke i potencijalno financijske podatke milijuna pojedinaca.

Ovo je definicija jedne točke kvara. Kada školski sustav koristi vlastitu lokalnu infrastrukturu, proboj je štetan ali ograničen. Kada tisuće škola povjeravaju svoje podatke jednoj platformi, polumjer razaranja svakog napada postaje ogroman. Skupina ShinyHunters prepoznala je to kada je navodno tvrdila da je pristupila gotovo 275 milijuna zapisa u povezanom incidentu s Instructureom, kako je detaljno opisano u ShinyHunters tvrdi da ima 275 milijuna zapisa u Instructure proboju.

Regulatorni okviri poput FERPA-e u Sjedinjenim Državama zahtijevaju od obrazovnih institucija da štite studentske zapise, ali obveze i mehanizmi provedbe postaju složeni kada podatke drži dobavljač treće strane. Škole mogu biti izložene pravnoj odgovornosti iako nisu bile izravne mete napada.

Kako studenti i osoblje mogu zaštititi osjetljive akademske podatke

Iako institucionalne sigurnosne odluke leže u rukama administratora i IT odjela, postoje konkretni koraci koje studenti i osoblje mogu poduzeti kako bi smanjili osobnu izloženost.

Koristite jake, jedinstvene lozinke. Ako koristite istu lozinku na više platformi i Canvas vjerodajnice budu kompromitirane, napadači mogu pokušati napade punjenja vjerodajnicama na vaš e-mail, bankarstvo ili druge račune. Koristite upravitelja lozinkama za generiranje i pohranu jedinstvenih vjerodajnica za svaku uslugu.

Omogućite višefaktorsku autentifikaciju gdje god je to moguće. Canvas i većina institucionalnih SSO sustava podržavaju MFA. Aktiviranjem se osigurava da sama ukradena lozinka nije dovoljna napadaču za pristup vašem računu.

Budite oprezni na pokušaje krađe identiteta. Nakon velikog proboja, napadači često šalju naknadne phishing e-mailove koji se lažno predstavljaju kao pogođena platforma ili sama institucija. Prema svakom neželjenom e-mailu koji vas traži da resetirate vjerodajnice ili potvrdite detalje računa pristupite sa skepticizmom. Idite izravno na službeni URL institucije umjesto da klikate na poveznice u e-mailu.

Pratite svoje akademske i osobne zapise. Ako vaša institucija potvrdi da su vaši podaci bili uključeni u proboj, razmislite o zamrzavanju kreditne sposobnosti i praćenju znakova zlouporabe identiteta. Akademski zapisi i studentske iskaznice mogu se koristiti u ciljanim napadima socijalnog inženjeringa.

Zatražite od vaše institucije specifičnosti. Škole imaju obvezu prema FERPA-i obavijestiti studente o probojima koji utječu na njihove zapise. Ne čekajte pasivno; kontaktirajte svoju matičnu službu ili IT odjel i izravno pitajte koji su podaci bili uključeni i koje se zaštitne mjere poduzimaju u vaše ime.

Što to znači za vas

Drugi proboj podataka na Canvasu koji je pogodio škole i fakultete podsjetnik je da pogodnost i centralizacija dolaze s kompromisima. Milijuni studenata vjerovali su da njihove akademske institucije, i dobavljači na koje se te institucije oslanjaju, čuvaju njihove osobne podatke. To je povjerenje bilo stavljeno na kušnju dvaput u kratkom vremenskom razdoblju.

Za studente i nastavnike, praktični prioritet trenutačno je osiguravanje osobnih računa i budnost prema naknadnim napadima. Za institucije, proboj bi trebao potaknuti ozbiljnu reviziju sigurnosnih zahtjeva dobavljača, praksi minimizacije podataka i planiranja za nepredviđene situacije kada platforme trećih strana prestanu raditi ili budu kompromitirane.

Kako biste razumjeli puni opseg napada vezanih za Instructure i uključene aktere prijetnji, pregledajte detaljnu analizu ShinyHunters proboja navedenu gore. Poznavanje podrijetla i metoda iza ovih incidenata prvi je korak prema zagovaranju jačih zaštita od platformi o kojima vi i vaša institucija ovisite svaki dan.