A ShinyHunters 275 millió rekordot követel az Instructure feltörésében

A ShinyHunters állítása szerint 275 millió rekordot lopott el az Instructure edtech óriástól

Az Instructure oktatástechnológiai vállalat megerősítette az adatszivárgást, miután a hírhedt ShinyHunters hackercsoport azzal fenyegetőzött, hogy nyilvánosságra hozza az adatokat, amelyeket állítása szerint közel 9 000 oktatási intézménytől szerzett meg. A csoport azt állítja, hogy 275 millió diák, tanár és egyéb személy adatait szerezte meg, ami – ha az állítások igazolódnak – az oktatási szektor valaha jelentett legnagyobb adatszivárgásai közé sorolná az esetet.

Az Instructure, amelyet leginkább a széles körben használt Canvas tanulásirányítási rendszeréről ismernek, még nem erősítette meg nyilvánosan az elért adatok teljes körét. A vállalat a ShinyHunters zsarolási nyomása közepette hozta nyilvánosságra az esetet – a csoport hosszú múltra tekint vissza a nagyszabású adatlopások és nyilvános adatközlési fenyegetések terén, amelyek célja, hogy váltságdíj fizetésére kényszerítsék az áldozatokat.

Ki az a ShinyHunters, és miért kellene ez fontos legyen?

A ShinyHunters nem ismeretlen név a kiberbiztonsági körökben. A csoportot az elmúlt néhány évben tucatnyi nagy horderejű adatszivárgáshoz kötötték, amelyek célpontjai között kiskereskedelmi, pénzügyi, egészségügyi és technológiai szektorbeli vállalatok egyaránt szerepeltek. Tipikus módszerük a felhasználói adatok nagy mennyiségben történő kiszűrése, majd azzal való fenyegetőzés, hogy dark web fórumokon teszik közzé azokat, hacsak az áldozat szervezet nem fizet.

Ezt az esetet különösen figyelemre méltóvá teszi az állított lopás puszta mérete és az érintett csoport adatainak érzékenysége. A diákok – akik közül sokan kiskorúak – különösen sebezhető csoportot alkotnak. Az oktatási nyilvántartások tartalmazhatnak neveket, e-mail-címeket, intézményi azonosítókat, és bizonyos esetekben az akadémiai vagy adminisztratív rendszerekhez kötött érzékenyebb információkat is. Az ilyen jellegű adatokat adathalász kampányok, személyazonosság-lopás és social engineering támadások céljára lehet felhasználni, amelyek a kezdeti adatszivárgás után hónapokkal vagy akár évekkel is felszínre kerülhetnek.

A közel 9 000 intézmény érintettsége azt is jelenti, hogy az expozíció földrajzilag és szervezetileg egyaránt széles körű, és kiterjed az általános és középiskolákra, főiskolákra, egyetemekre, valamint esetleg a Canvast használó vállalati képzési programokra is.

Mit jelent ez az Ön számára?

Ha Ön vagy gyermeke olyan iskolába, főiskolára vagy egyetemre jár, amely az Instructure Canvas platformját használja, adatai érintettek lehettek. Ebben a szakaszban érdemes több óvintézkedést is tenni, függetlenül attól, hogy kap-e hivatalos értesítést.

Először is legyen éber az adathalász kísérletekkel szemben. Azok a támadók, akik feltört adatbázisokból szereznek e-mail-címeket, gyakran követik ezt fel olyan célzott e-mailekkel, amelyek hivatalos iskolai, ösztöndíj-irodai vagy technológiai szolgáltatói kommunikációnak látszanak. Minden váratlan e-mailt, amely arra kéri, hogy kattintson egy hivatkozásra, igazolja hitelesítő adatait vagy frissítse fizetési adatait, szkeptikusan kell kezelni.

Másodszor, fontolja meg egyedi, erős jelszavak használatát az oktatási intézményéhez kapcsolódó fiókokhoz. Egy jelszókezelő megkönnyíti ezt a feladatot több bejelentkezés kezelésekor. Ha az iskolai fiókja más szolgáltatásokkal azonos jelszót használ, azokat a jelszavakat most változtassa meg.

Harmadszor, a kiskorú diákok szüleinek különösen figyelniük kell. A gyermekek adatai különösen értékesek a csalók számára, mivel azokat évekig senki sem figyeli, így a bűnözőknek hosszú idejük van a visszaélésre, mielőtt bárki észrevenné.

Az oktatási intézmények informatikai rendszergazdái és biztonsági csapatai számára ez az adatszivárgás emlékeztetőül szolgál a harmadik feles szállítói hozzáférések felülvizsgálatára. Azok a szervezetek, amelyek olyan platformokra támaszkodnak, mint a Canvas, gyakran jelentős hozzáférést biztosítanak azoknak a hallgatói információs rendszerekhez. Annak ellenőrzése, hogy milyen adatokat osztanak meg, hogyan tárolják azokat, és milyen szerződéses biztonsági kötelezettségek vonatkoznak a szállítókra, nem opcionális feladat. Ez alapvető kockázatkezelés.

Az oktatási szektor biztonságának tágabb problémája

Az oktatás következetesen az adatszivárgási jelentésekben leginkább célpontnak számító szektorok közé tartozik, mégis általában a kiberbiztonsági költségvetések és személyzet tekintetében a legkevésbé ellátott szektorok egyike. Az iskolák és egyetemek hatalmas mennyiségű személyazonosításra alkalmas információt kezelnek, miközben gyakran elavult infrastruktúrával, korlátozott informatikai személyzettel és szűkös pénzügyi keretekkel működnek.

Az Instructure adatszivárgása szemlélteti azt az összetett kockázatot, amely azzal jár, hogy egyetlen platformon keresztül több ezer intézmény adatait centralizálják. Amikor ez a platform célponttá válik, a hatókör hatalmas. Egy egyetlen intézményt érintő adatszivárgás helyett egyszerre közel 9 000 intézményt érint.

Ez nem érv a felhőalapú edtech platformok ellen, amelyek valódi értéket nyújtanak. Ez érv amellett, hogy ezeket a platformokat a legmagasabb biztonsági előírásokhoz kell tartani, és hogy az intézményeknek rétegzett biztonságot kell alkalmazniuk – beleértve a többtényezős hitelesítés kötelezővé tételét, a felesleges adatmegosztás minimalizálását és az egyértelmű incidensreagálási tervek fenntartását.

Gyakorlati teendők

• Figyelje fiókjait. Ügyeljen az iskolájához vagy egyeteméhez kapcsolódó fiókokban tapasztalható szokatlan bejelentkezési tevékenységekre.
• Frissítse jelszavait. Változtassa meg Canvas-fiókja és az ugyanazt a jelszót használó egyéb szolgáltatások hitelesítő adatait.
• Engedélyezze a többtényezős hitelesítést oktatási fiókjain, ha ez elérhető.
• Figyeljen az adathalász kísérletekre. Legyen óvatos a kéretlen e-mailekkel, amelyek állítólag az intézményétől vagy közvetlenül az Instructure-től érkeznek.
• Szülők: ellenőrizzék gyermekük digitális lábnyomát. Fontolják meg a hitelzárolás elhelyezését a kiskorú gyermek társadalombiztosítási számán, ha az Egyesült Államokban tartózkodnak, mivel az ellopott hallgatói adatokat évekig lehet visszaélésre felhasználni.
• Intézmények: végezzék el a szállítói hozzáférések auditálását. Vizsgálják felül, hogy a harmadik feles edtech platformok milyen adatokhoz férhetnek hozzá, és gondoskodjanak arról, hogy a szerződések egyértelmű biztonsági és adatszivárgás-értesítési követelményeket tartalmazzanak.

Az Instructure adatszivárgásának teljes mértéke még körvonalazódik. Ahogy egyre több részlet válik ismertté, az érintett személyeknek és intézményeknek az Instructure hivatalos iránymutatásait kell követniük, és ébernek kell maradniuk. Az ilyen léptékű adatszivárgások teljes megértése időt vesz igénybe, de a fenti lépések már ma csökkenthetik az Ön kitettségét.