Milyen típusú adatokat loptak el az Instructure Canvas adatszivárgásában?

A feltört adatok közé tartoznak nevek, e-mail-címek és diákigazolvány-számok, és arra utaló jelek is vannak, hogy a platformon belüli kommunikációhoz, tanulmányi nyilvántartásokhoz, tananyagokhoz és belső intézményi üzenetekhez is hozzáférhettek.

Kit érint a Canvas adatszivárgása?

A szivárgás az oktatás minden szintjén érintette a felhasználókat, beleértve az alapképzéses hallgatókat, a PhD-kutatókat, az oktatókat és az adminisztratív személyzetet, tucatnyi országban több ezer intézményi ügyfélnél.

Az Instructure ShinyHuntersnek fizetett váltságdíja megoldotta az adatszivárgást?

Nem, jogi szakértők figyelmeztetnek, hogy a váltságdíj fizetése csupán az azonnali nyilvános adatközzététel veszélyét csökkentette, és nem teljesíti az adatszivárgás-bejelentési törvényeket, illetve nem igazolja, hogy az ellopott adatokat véglegesen törölték.

Az Instructure ellenőrizni tudja-e, hogy a ShinyHunters a fizetés után megsemmisítette-e az ellopott adatokat?

Nem létezik független igazolás arra vonatkozóan, hogy az adatokat megsemmisítették, mivel nincs megbízható mechanizmus annak megerősítésére, hogy a fenyegető szereplő nem tartott meg másolatokat, nem osztotta meg az adatokat, vagy a megállapodás előtt nem adott el hozzáférést a feketepiacon.

Miért tekinthető a ShinyHunters csoport jelentős folyamatos kockázatnak?

A ShinyHuntersnek dokumentált előélete van a nagyszabású adatszivárgások és adatértékesítés terén, ami azt jelenti, hogy az egyéni és intézményi kockázat nem feltétlenül szűnik meg egyszerűen azért, mert pénzügyi megállapodás született.

Az Instructure Canvas adatszivárgás: Amivel a diákoknak még mindig szembe kell nézniük

Az Instructure Canvas adatszivárgás megrázta az ország felsőoktatási intézményeit, azonban a ShinyHunters hackercsoportnak fizetett váltságdíj nem zárta le ezt az ügyet. Jogi szakértők most arra figyelmeztetnek, hogy az ellopott adatok elhallgattatásáért fizetett összeg nem egyenértékű azoknak az alapvető kötelezettségeknek a teljesítésével, amelyek az iskolákat, egyetemeket, valamint az általuk kiszolgált diákokat és oktatókat még mindig terhelik. Azon emberek millióira nézve, akiknek adatai átmentek a Canvas rendszerén, a történet korántsem ért véget.

Mi volt ténylegesen ellopva, és kit érint az incidens

Az esetről szóló tudósítások szerint a feltört adatok közé tartoznak nevek, e-mail-címek és diákigazolvány-számok, amelyek több ezer intézményi ügyfelet érintenek tucatnyi országban. A szivárgás a Canvas infrastruktúrájának háttérrendszerét érintő kompromittálódásból eredt, ami azt jelenti, hogy az érintettség nem korlátozódott egyetlen iskolára vagy régióra. Mivel a Canvas az Egyesült Államok egyik legelterjedtebb tanulásirányítási rendszere, a potenciálisan érintett személyek köre hatalmas.

Az alapvető azonosítókon túl arra utaló jelek is vannak, hogy a Canvas platformon belüli kommunikációhoz is hozzáférhettek. Ez a részlet azért fontos, mert az érintettség körét a puszta elérhetőségi adatokon túlra terjeszti ki. Tanulmányi nyilvántartások, tananyagok és belső intézményi üzenetek egyaránt részét képezhetik annak, amit még az Instructure által észlelt behatolás előtt gyűjtöttek össze.

A szivárgás az oktatás minden szintjén érintette a felhasználókat, az alapképzéses hallgatóktól a PhD-kutatókig, az oktatóktól az adminisztratív személyzetig. Minden olyan személynek, aki az érintett időszakban valamely érintett intézménynél a Canvas rendszerét használta, potenciálisan veszélyeztetettnek kell tekintenie személyes adatait.

Miért nem szünteti meg a váltságdíj fizetése a kockázatot

Amikor az Instructure pénzügyi megállapodást kötött a ShinyHunters csoporttal, az adatok nyilvános közzétételének azonnali veszélye csökkent. Jogi szakértők azonban gyorsan rámutatnak, hogy ez a megállapodás csupán egy szeletét kezeli egy sokkal nagyobb problémának. Ahogy azt az Instructure ShinyHuntersnek fizetett váltságdíjáról szóló részletes cikkünkben is ismertettük, a vállalat megerősítette a pénzügyi megállapodást, azonban az adatok végleges törlését független forrás nem igazolta.

Ez alapvető különbség. A váltságdíj fizetése hallgatást vásárol, nem bizonyosságot. Nem létezik megbízható mechanizmus annak ellenőrzésére, hogy egy fenyegető szereplő megsemmisítette-e az ellopott adatokat, vagy inkább megtartott másolatokat, megosztotta azokat más felekkel, esetleg a megállapodás megkötése előtt hozzáférést adott el a feketepiacon. A ShinyHunters csoportnak dokumentált előélete van a nagyszabású adatszivárgások és adatértékesítés terén, ami azt jelenti, hogy az intézményi és egyéni kockázat nem tűnik el egyszerűen azért, mert egy megállapodást aláírtak.

Szabályozási szempontból a váltságdíj fizetése semmit sem tesz az adatszivárgás-bejelentési törvények teljesítése érdekében. Az Egyesült Államokban olyan jogszabályok, mint a FERPA, az állami szintű adatvédelmi rendelkezések és az ágazatspecifikus előírások, önálló kötelezettségeket rónak a diákadatokat kezelő intézményekre. Egy hackernek fizetett összeg nem minősül hatósági bejelentésnek.

A bejelentési hiányosság: Mit kell még megtenniük az iskoláknak és az egyetemeknek

A Canvas-t használó több ezer intézmény számára itt válik bonyolulttá a megfelelőség kérdése. Az Instructure szállító, nem pedig adatkezelő a legtöbb diáknyilvántartás tekintetében. Az egyes egyetemeknek, főiskoláknak és iskolakörzeteknek saját jogi kötelezettségeik vannak az érintett személyek és sok esetben az illetékes hatóságok értesítésére.

Az ügyet elemző jogi szakértők megjegyezték, hogy az intézményi ügyfelek nem támaszkodhatnak az Instructure intézkedéseire – beleértve a váltságdíj fizetését – saját bejelentési kötelezettségeik helyettesítőjeként. Számos intézmény olyan állami adatszivárgás-bejelentési törvények hatálya alá tartozik, amelyek meghatározott határidőn belüli tájékoztatást írnak elő, miután a szivárgás megerősítést nyert. Ezeknek az óráknak egy része talán már ketyeg.

A FERPA hatálya alá tartozó intézményeknél a diákok oktatási nyilvántartásainak kitettsége konkrét követelményeket támaszt arra vonatkozóan, hogyan és mikor kell értesíteni az érintett hallgatókat. A graduális kutatási intézményeknek további kötelezettségeik lehetnek, ha kutatási adatok vagy szövetségileg finanszírozott projektek információi érhetők el a Canvas-kommunikáción keresztül. A rétegzett szabályozási környezet azt jelenti, hogy minden intézménynek saját jogi értékelésre van szüksége, nem pedig az Instructure nyilvános nyilatkozataira való általános támaszkodásra.

A bejelentési hiányosság különösen éles azon diákok és oktatók esetében, akik még nem kaptak közvetlen értesítést az intézményüktől. Ha az iskolája nem vette fel Önnel a kapcsolatot, ez a hallgatás nem jelenti azt, hogy adatait nem érintette a szivárgás.

Konkrét lépések, amelyeket diákok és oktatók most megtehetnek

Az intézményi értesítésre való várakozás önmagában nem teljes stratégia. Vannak konkrét intézkedések, amelyeket az egyének most megtehetnek a folyamatban lévő kockázatok csökkentése érdekében.

Először is, figyelje a Canvashoz kapcsolódó e-mail-fiókjait adathalász kísérletekre. Az ellopott e-mail-címeket és neveket gyakran meggyőző célzott adathalász üzenetek megszerkesztésére használják, amelyek gyakran az egyetemi informatikai részlegeket vagy a diákhitel-irodákat személyesítik meg. Kezelje fokozott szkepticizmussal a hitelesítő adatokat vagy személyes információkat kérő váratlan megkereséseket.

Másodszor, változtassa meg a jelszavát minden olyan fiókban, amely ugyanazt a jelszót használta, mint a Canvas-bejelentkezése. A jelszavak újrafelhasználása az egyik leggyakoribb módja annak, hogy egyetlen adatszivárgás több fiók átvételévé kaskádosodik. Ha ugyanazt a jelszót használta máshol, azonnal frissítse azokat a fiókokat, és ahol elérhető, engedélyezze a többtényezős hitelesítést.

Harmadszor, fontolja meg hitelzárolás elhelyezését a nagy hitelirodáknál, ha diákigazolvány-száma szerepel a feltört adatok között. A diákigazolvány-számok néha más adatpontokkal kombinálva személyazonosság-lopást segíthetnek elő, különösen diákhitel-számlákkal vagy pénzügyi támogatással kapcsolatos összefüggésekben.

Negyedszer, kérjen másolatot az iskolája adatszivárgás-bejelentési tervéről, vagy kérdezze meg közvetlenül az intézménye informatikai vagy anyakönyvi irodájától, hogy milyen adatokat érintett a szivárgás, és milyen lépéseket tesznek. Joga van ehhez az információhoz, és megkeresése papírnyomot hagy, amely releváns lehet, ha jogi eljárások következnek.

Az Instructure Canvas adatszivárgás emlékeztetőül szolgál arra, hogy a nagy méretű oktatási platformok komoly adatvédelmi téteket hordoznak mindenki számára, aki használja őket. A váltságdíj fizetése talán ideiglenesen csökkentett egy kockázatot, de nem oldotta fel az érintett intézményeknél tanuló és oktató diákok és tanárok alapvető kitettségét. Az intézménye kötelezettségeiről való tájékozottság megőrzése és az önálló védelmi lépések megtétele a leghatékonyabb előremutató út jelenleg.