Mikor történt a második Canvas adatszivárgás?

Az Instructure Canvas platformját érintő második jogosulatlan hozzáférési incidens május 7-én következett be. Szorosan követte az előző szivárgást, aggodalmakat ébresztve azzal kapcsolatban, hogy az eredeti sérülékenységet teljes mértékben orvosolták-e.

Mely egyetemeket érintette a szivárgás?

A Penn State Egyetem volt az egyik legjelentősebben érintett intézmény, de a University of California és a California State University rendszerek, a virginiai és más államokban működő intézmények, valamint nemzetközi egyetemek is érintettek voltak.

Milyen intézkedéseket tett a Penn State a szivárgásra reagálva?

A Penn State lemondta az ütemezett vizsgákat, és ideiglenesen korlátozta az oktatók és diákok Canvas-hozzáférését. Az időzítés különösen zavaró volt, mivel a vizsgaidőszak alatt következett be.

Ez volt az első alkalom, hogy a Canvas-t feltörték?

Nem, ez volt a második szivárgás; a hírhedt ShinyHunters hackercsoport korábban már megerősített egy korábbi szivárgást, amely világszerte több millió diákot és oktatót érintett különböző intézményekben.

2. Canvas adatszivárgás megzavarja a vizsgákat a Penn State-en és más intézményekben

Az Instructure Canvas platformját május 7-én ért második jogosulatlan hozzáférési incidens sokkolta a felsőoktatást, több egyetemet – köztük a Penn State-et – vizsgák lemondására, a platformhoz való hozzáférés korlátozására és tartaléktervek kapkodó kidolgozására kényszerítve. Az iskolákat és főiskolákat érintő Canvas adatszivárgás riasztó eszkalációt jelent a centralizált oktatástechnológiai rendszerek elleni támadásokban, és több millió diák érzékeny tanulmányi és személyes adatait teszi ki közvetlen veszélynek.

Mi történt a második Instructure-incidensben

Május 7-én az Instructure megerősítette a Canvas tanulásmenedzsment-rendszerét érintő második jogosulatlan hozzáférési incidenst. Bár a teljes technikai részletek egyelőre korlátozottak, a szivárgás szorosan követte az előző incidenst, ami arra utal, hogy vagy az eredeti sérülékenységet nem sikerült teljes mértékben orvosolni, vagy a támadók új utat találtak a platform infrastruktúrájába.

Az Instructure közölte, hogy a problémát végül elhárították, és a Canvas visszaállt a teljes működési állapotba; a közzététel idején nem volt bizonyíték folyamatos jogosulatlan hozzáférésre. Ez a biztosíték azonban kevés megnyugvást nyújtott azoknak az iskoláknak, amelyek a Canvas-ra támaszkodnak tananyag-közvetítés, értékelések és érzékeny diáknyilvántartások tárolása céljából.

Ez a második incidens az Instructure elleni támadások szélesebb mintázatának részét képezi. Ahogy azt a ShinyHunters-szivárgás az Instructure Canvas-t érinti: Diákok adatai kerültek veszélybe című cikkünkben ismertettük, a hírhedt ShinyHunters hackercsoport korábban megerősített egy szivárgást, amely világszerte több millió diákot és oktatót érintett különböző intézményekben. A május 7-i incidens tovább tetézi ezt a korábbi kompromittálódást, és kérdéseket vet fel azzal kapcsolatban, hogy vajon megfelelő biztonsági fejlesztések történtek-e a két esemény között.

Mely intézményeket érintette és hogyan

A Penn State Egyetem volt az egyik legjelentősebben érintett intézmény: lemondták az ütemezett vizsgákat, és ideiglenesen korlátozták az oktatók és diákok Canvas-hozzáférését. Az időzítés különösen károsnak bizonyult, mivel a szivárgás abban az időszakban csapott le, amikor sok főiskola és egyetem éppen a vizsgaidőszak közepén járt – ekkor támaszkodnak a diákok leginkább a platformra feladatok beadásához, tananyagok eléréséhez és online tesztek kitöltéséhez.

A Penn State-en túl a kaliforniai University of California és California State University rendszerek szintén érintettnek bizonyultak, csakúgy mint virginiai és más államokban működő intézmények. A szivárgás nemzetközi hatóköre, amely a világ számos egyetemét érintette, rávilágít arra, milyen mélyen ágyazódott be a Canvas a globális akadémiai infrastruktúrába.

A diákok számára a gyakorlati következmények túlmutattak egy elmulasztott határidőn. A vizsgák lemondása menetrendbeli káoszt okozott a végzős hallgatóknak és azoknak, akiknek időérzékeny tanulmányi kötelezettségeik voltak. Az oktatók kihívással néztek szembe, amikor rövid úton alternatív csatornákon kellett kommunikálniuk a diákokkal, az adminisztrátoroknak pedig gyors döntéseket kellett hozniuk arról, megbízhatnak-e a platformban, miközben aktív vizsgálat folyt.

Miért jelentenek adatvédelmi kockázatot a centralizált oktatástechnológiai platformok

Az Instructure ismételt célba vétele rámutat a modern oktatástechnológia egy strukturális problémájára: az érzékeny adatok koncentrálódására, amely során több ezer intézmény adatait egyetlen szállító infrastruktúrájára bízzák. A Canvas becslések szerint világszerte 9 000 vagy annál több oktatási intézményt szolgál ki. Ez a méret rendkívül nagy értékű célponttá teszi a kiberbűnözők számára, mivel egyetlen sikeres szivárgás egyszerre nyújthat hozzáférést tanulmányi nyilvántartásokhoz, személyes azonosításra alkalmas adatokhoz és potenciálisan pénzügyi adatokhoz több millió egyéntől.

Ez az egypontos meghibásodás definíciója. Ha egy iskolai rendszer saját helyi infrastruktúrát működtet, egy szivárgás káros, de behatárolt. Ha azonban több ezer iskola bízza adatait egyetlen platformra, bármely támadás pusztítási sugara óriásivá válik. A ShinyHunters csoport ezt felismerte, amikor állítólag azt állította, hogy közel 275 millió rekordhoz fértek hozzá egy kapcsolódó Instructure-incidensben, ahogy azt a ShinyHunters 275 millió rekordot követel az Instructure-szivárgásban részletezi.

Az Egyesült Államokban a FERPA-hoz hasonló szabályozási keretek megkövetelik az oktatási intézményektől a diáknyilvántartások védelmét, de a kötelezettségek és végrehajtási mechanizmusok bonyolulttá válnak, amikor az adatokat harmadik féltől származó szállító kezeli. Az iskolák felelősségi kitettséggel szembesülhetnek annak ellenére, hogy nem ők voltak a támadás közvetlen célpontjai.

Hogyan védhetik meg a diákok és munkatársak az érzékeny tanulmányi adatokat

Bár az intézményi biztonsági döntések az adminisztrátorok és az informatikai részlegek hatáskörébe tartoznak, a diákok és munkatársak konkrét lépéseket tehetnek személyes kitettségük csökkentése érdekében.

Használjon erős, egyedi jelszavakat. Ha ugyanazt a jelszót használja több platformon, és a Canvas hitelesítő adatai kompromittálódnak, a támadók hitelesítő adatok kitöltésével (credential stuffing) megkísérelhetnek hozzáférni az e-mail fiókjához, bankszámlájához vagy egyéb fiókjaihoz. Használjon jelszókezelőt, hogy minden szolgáltatáshoz egyedi hitelesítő adatokat generáljon és tároljon.

Ahol csak lehetséges, engedélyezze a többfaktoros hitelesítést. A Canvas és a legtöbb intézményi SSO-rendszer támogatja az MFA-t. Az aktiválása azt jelenti, hogy egy ellopott jelszó önmagában nem elegendő ahhoz, hogy a támadó hozzáférjen a fiókjához.

Legyen éber az adathalász kísérletekkel szemben. Egy nagyobb szivárgás után a támadók gyakran küldenek követő adathalász e-maileket, amelyekben az érintett platformot vagy magát az intézményt személyesítik meg. Kezelje szkepticizmussal az összes kéretlen e-mailt, amely hitelesítő adatok visszaállítására vagy fiókadatok ellenőrzésére kéri fel; inkább navigáljon közvetlenül az intézmény hivatalos URL-jére, ahelyett hogy e-mailes linkekre kattintana.

Kövesse nyomon tanulmányi és személyes nyilvántartásait. Ha intézménye megerősíti, hogy adatai szerepeltek a szivárgásban, fontolja meg a hitelfagyasztást, és figyelje a személyazonosság-visszaélés jeleit. A tanulmányi nyilvántartásokat és a diákazonosítókat célzott social engineering támadásokban is felhasználhatják.

Kérjen konkrét tájékoztatást intézményétől. Az iskoláknak FERPA-kötelezettségük van arra, hogy értesítsék a diákokat a nyilvántartásaikat érintő szivárgásokról. Ne várjon tétlenül; lépjen kapcsolatba a tanulmányi osztállyal vagy az informatikai részleggel, és kérdezze meg közvetlenül, hogy mely adatok voltak érintettek, és milyen védőintézkedéseket tesznek az Ön érdekében.

Mit jelent ez Önnek

Az iskolákat és főiskolákat érintő második Canvas adatszivárgás emlékeztető arra, hogy a kényelemnek és a centralizációnak ára van. Több millió diák bízott abban, hogy akadémiai intézményeik – és az általuk igénybe vett szállítók – megőrzik személyes adataikat. Ez a bizalom rövid időn belül kétszer is próbára lett téve.

A diákok és oktatók számára a jelenlegi gyakorlati prioritás a személyes fiókok biztosítása és az éberség fenntartása a következményes támadásokkal szemben. Az intézmények számára a szivárgásnak komoly felülvizsgálatot kell ösztönöznie a szállítói biztonsági követelmények, az adatminimalizálási gyakorlatok és a vészhelyzeti tervek terén arra az esetre, ha harmadik féltől származó platformok leállnak vagy kompromittálódnak.

Az Instructure-hoz kapcsolódó támadások teljes körének és az érintett fenyegetés-szereplőknek a megértéséhez tekintse meg a fent hivatkozott részletes ShinyHunters-szivárgási cikket. Az incidensek mögött álló eredet és módszerek megismerése az első lépés afelé, hogy hatékonyabban szorgalmazza az Ön és intézménye által naponta használt platformoktól elvárt erősebb védelmi intézkedéseket.