A ShinyHunters betörése az Instructure Canvas rendszerét érinti: Diákok adatai kerültek veszélybe

Mit tárt fel az Instructure-incidens, és kit érint?

Az Instructure, a Canvas mögött álló vállalat – amely az egyik legelterjedtebb tanulásmenedzsment-rendszer a felsőoktatásban – megerősítette, hogy adatvédelmi incidens történt, amely több millió diákot és oktatót érint több ezer intézményben. Az Instructure Canvas adatvédelmi incidens számos érzékeny felhasználói adatot tárt fel, köztük neveket, e-mail-címeket, diákazonosítókat és privát felhasználói kommunikációt.

Az incidens mértéke jelentős. A fenyegetést elkövető fél állítása szerint a jogsértés közel 9 000 oktatási intézmény felhasználóit érintheti. A Canvas-t egyetemek, főiskolák és K-12 iskolák használják szerte a világon, ami azt jelenti, hogy az érintett személyek potenciális köre széles és sebezhető demográfiai csoportot fed le. A diákok – akik közül sokan fiatal felnőttek, és most használnak először intézményi fiókot – esetleg nem ismerik fel azonnal, hogy az iskolai bejelentkezési adataik ugyanolyan védelmet érdemelnek, mint egy banki jelszó.

Az adatok veszélyeztetettségének teljesebb megértéséhez érdemes tudni, hogy a ShinyHunters állítása szerint 275 millió rekordot szerzett meg az Instructure-incidensből, ami aláhúzza az esemény példátlan mértékét.

Hogyan fért hozzá a ShinyHunters a Canvas felhasználói adataihoz?

A támadást a ShinyHunters vállalta magára, egy jól dokumentált zsarolócsoport, amelynek nagy horderejű adatlopási kampányok terén szerzett múltja van. A csoport korábban már célba vett nagy platformokat, és bizonyítottan képes óriási adathalmazok kiszűrésére vállalati környezetekből.

Bár az Instructure nyilvánosan nem részletezte, hogy pontosan milyen támadási vektort alkalmaztak a jogosulatlan hozzáférés megszerzéséhez, a ShinyHunters jellemzően a felhőalapú tárolási konfigurációk, harmadik féltől származó integrációk vagy API-végpontok gyengeségeit aknázza ki. Az oktatástechnológiai platformok gyakran összetett, harmadik féltől származó eszközök és integrációk hálózatára támaszkodnak, amelyek olyan biztonsági réseket eredményezhetnek, amelyeket nehéz átfogóan monitorozni.

A felhasználói kommunikációhoz való jogosulatlan hozzáférés megerősítése különösen aggasztó. A statikus adatmezőktől – mint a nevek vagy az e-mail-címek – eltérően a kommunikáció érzékeny tanulmányi tartalmakat, személyes közléseket és olyan információkat tartalmazhat, amelyeket a diákok és az oktatók a magánszféra elvárásával osztottak meg egymással.

Miért fokozzák a kockázatot a campuson lévő Wi-Fi hálózatok és a titkosítatlan forgalom?

Az Instructure Canvas adatvédelmi incidens nem önmagában áll. Rámutat egy tágabb sebezhetőségre, amellyel a diákok és oktatók nap mint nap szembesülnek: a titkosítatlan vagy rosszul biztosított hálózati kapcsolatok használatára a campuson.

A campusi Wi-Fi hálózatok eredendően megosztott környezetek. Több száz vagy több ezer felhasználó csatlakozik ugyanazon az infrastruktúrán keresztül, és ha az alkalmazás vagy hálózat szintjén nincs megfelelő titkosítás, az ezeken a kapcsolatokon keresztül továbbított adatok lehallgathatók. Ha a hitelesítő adatok egy ilyen incidensben kompromittálódnak, a támadók gyakran más platformokon is megkísérlik felhasználni azokat – ezt credential stuffingnak, vagyis hitelesítő adatok töltögetésének nevezik. Az a diák, akinek a Canvas-felhasználóneve és jelszava most egy fenyegető fél adatbázisában szerepel, nemcsak a Canvas-en van veszélynek kitéve, hanem minden olyan más szolgáltatáson is, ahol ugyanazt a kombinációt használja.

Az internetes forgalom VPN-nel való titkosítása a campuson és a nyilvános hálózatokon egy olyan védelmi réteget ad hozzá, amelyet az intézményi biztonsági intézkedések önmagukban nem tudnak garantálni. Megakadályozza a helyi hálózati szintű lehallgatást, és jelentősen megnehezíti az opportunista támadók számára, hogy átvitel közben hitelesítő adatokat vagy munkamenet-adatokat gyűjtsenek.

Konkrét lépések, amelyeket a diákok és az intézmények most megtehetnek

Ha Ön diák vagy oktató, aki a Canvas-t használja, érdemes azonnal megtenniük az alábbi konkrét lépéseket.

Változtassa meg Canvas-jelszavát most. Még ha az Instructure nem is erősítette meg, hogy az Ön konkrét fiókjához hozzáfértek, kezelje hitelesítő adatait kompromittáltként. Használjon erős, egyedi jelszót, amelyet sehol máshol nem használ.

Ahol csak lehetséges, engedélyezze a többtényezős hitelesítést. Sok intézmény kínál MFA-t a tanulásmenedzsment-rendszereihez és e-mail fiókjaihoz. Ha az Öné is, kapcsolja be. Ez az egyetlen lépés megakadályozhatja a fiók átvételét még akkor is, ha a jelszó ismert a támadó számára.

Ellenőrizze, hol használja ugyanazt a jelszót. Ha Canvas-e-mail és jelszó kombinációja bármely más szolgáltatáson megjelenik, változtassa meg azokat a jelszavakat azonnal. Egy jelszókezelő segíthet egyedi hitelesítő adatok generálásában és tárolásában minden fiókhoz.

Használjon VPN-t a campuson és nyilvános hálózatokon. Egy megbízható VPN titkosítja az internetes forgalmát, így sokkal nehezebb bárki számára, aki a helyi hálózatot figyeli, hogy lehallgassa az adatait. Ez különösen fontos a nyílt campusi Wi-Fi hálózatokon, kávézói kapcsolatokon és minden megosztott környezetben. Azok a diákok, akik a saját használati szokásaikhoz és költségvetésükhöz illő lehetőségeket keresnek, érdemes olyan VPN-eket kutatniuk, amelyek erős titkosítási protokollokat és naplók nélküli adatkezelési szabályzatot kínálnak.

Figyeljen az adathalász kísérletekre. Az ilyen jellegű incidenseket gyakran célzott adathalász kampányok követik. Azok a támadók, akik most már rendelkeznek az Ön nevével, e-mail-címével és intézményi hovatartozásával, meggyőző üzeneteket készíthetnek, amelyek az egyetemét vagy magát a Canvas-t utánozzák. Legyen szkeptikus minden olyan kéretlen e-maillel szemben, amely arra kéri, hogy erősítse meg fiókját vagy kattintson egy linkre.

Az intézmények számára ez a jogsértés egyértelmű jelzés arra, hogy értékeljék újra a harmadik féltől származó szállítókra vonatkozó biztonsági követelményeket, szigorítsák az API-hozzáférés ellenőrzését, és fektessenek be az incidensértesítési infrastruktúrába, hogy az érintett felhasználók időszerű, cselekvésre ösztönző tájékoztatást kapjanak.

Az Instructure Canvas adatvédelmi incidens emlékeztetőül szolgál arra, hogy az oktatási platformok mélyen személyes adatokat tárolnak, és ugyanolyan szigorú biztonsági vizsgálatot érdemelnek, mint a pénzügyi vagy egészségügyi rendszerek. A diákoknak és az oktatóknak nem kell megvárniuk, hogy intézményük cselekedjen. Saját digitális szokásaik átvizsgálása – kezdve a jelszavakkal és a hálózati kapcsolatokkal – a legközvetlenebb lépés, amelyet most megtehetnek a kockázatnak való kitettségük csökkentése érdekében.