A ShinyHunters lecsap a Canvasra: 275 millió diákrekord veszélyben

A ShinyHunters lecsap a Canvasra: 275 millió diákrekord veszélyben

A Canvas kibertámadás során bekövetkezett diákadatcsere, amely közel 9 000 intézményt rázott meg világszerte, ismét elérhető, de a fenyegetés korántsem múlt el. A ShinyHunters hackercsoport magára vállalta a felelősséget a széles körben használt tanulásmenedzsment-platform leállításáért, azt állítva, hogy akár 275 millió személy – köztük diákok, tanárok és adminisztratív személyzet – adataihoz fértek hozzá. A csoport azzal fenyegetőzött, hogy közzéteszi az adatokat, hacsak nem fizetnek váltságdíjat, ezzel egy szolgáltatáskimaradást hosszú távú adatvédelmi válsággá alakítva, milliókat érintve.

A Canvas-t az Instructure üzemelteti, és a világ egyik legelterjedtebb tanulásmenedzsment-rendszere. Éppen a mérete tette célponttá.

Miért vonzó célpontok a Canvashoz hasonló oktatási platformok a zsarolóvírus-támadások számára?

Az iskolák és egyetemek különösen sebezhető helyzetben vannak a zsarolóvírusos bűnözés szempontjából. Hatalmas mennyiségű érzékeny személyes adatot tárolnak – kiskorúak nyilvántartásaitól és pénzügyi támogatási adatoktól kezdve a személyzet foglalkoztatási információin és intézményi hozzáférési adatokon át –, ugyanakkor jellemzően szűkösebb biztonsági kerettel működnek, mint a pénzügyi intézmények vagy a nagy vállalatok, és hálózataikat szándékosan nyitottnak és hozzáférhetőnek tervezik, hogy támogassák a tanulást.

Az olyan tanulásmenedzsment-rendszerek, mint a Canvas, különösen vonzók, mivel az identitás, a kommunikáció és a nyilvántartások metszéspontján helyezkednek el. Egy adatcsere nem csupán felhasználónevet és jelszót fed fel. Feltárhat feladatbeadásokat, közvetlen üzeneteket, osztályzattörténeteket, beiratkozási adatokat, és egyes esetekben a diákprofilokhoz kapcsolt pénzügyi vagy egészségügyi elszállásolási nyilvántartásokat is. Ez az információmélység az, ami megkülönbözteti az oktatási platform megsértését egy egyszerű hitelesítőadat-kiszivárogtatástól.

A ShinyHunters nem új szereplő. A csoportot korábban fogyasztói platformokat célzó, nagy léptékű adatlopási műveletekhez kapcsolták. Az oktatási infrastruktúrába való belépésük egy kiszámított fokozást jelez – olyan szektorokat célozva meg, ahol a leállás miatti nyomás magas, és az időzítés – félév közepén és sokak számára vizsgaidőszak közelében – maximalizálja a tárgyalási erőt.

Mit állít a ShinyHunters, hogy ellopott, és mi forog kockán?

A csoport azt állítja, hogy 275 millió személy adatait szerezte meg – ez a szám, ha helytálló, az oktatási szektor egyik legnagyobb valaha rögzített adatlopásává tenné ezt az esetet. A bejelentett ellopott adatkategóriák közé tartoznak a platformon váltott privát üzenetek, a beiratkozási és tanulmányi nyilvántartások, valamint a diákok és a személyzet személyazonosításra alkalmas adatai.

Az érintett felhasználók számára a kockázati profil rétegzett. A legalapvetőbb szinten a nyilvánosságra került e-mail-címek és jelszavak más platformokon végrehajtott hitelesítőadat-tömési támadásokhoz használhatók fel. Még aggasztóbb az intézményi kommunikációs előzmények esetleges kitettsége. A diákok és professzorok közötti privát üzenetek, az elszállásolási kérelmek és az osztályzati viták mind felhasználhatók célzott adathalászathoz, social engineeringhez, vagy akár egyéni szintű zsaroláshoz.

A kiskorúak külön aggodalomra adnak okot. Számos általános és középiskolai intézmény használja a Canvast, ami azt jelenti, hogy az állítólagos 275 millió nyilvántartás egy részéhez 13 évnél fiatalabb gyermekek tartozhatnak, ami az Egyesült Államokban a COPPA-hoz hasonló törvények értelmében további jogi és értesítési kötelezettségeket von maga után.

Azonnali lépések, amelyeket a Canvas-felhasználóknak meg kell tenniük önmaguk védelme érdekében

Az, hogy a platform újra elérhetővé vált, nem jelenti azt, hogy a veszély elmúlt. A már kiszivárogtott adatok a támadó kezében maradnak, függetlenül az üzemelési állapottól. Íme, mit kell most tennie a felhasználóknak.

Először is, azonnal változtassa meg Canvas-jelszavát, és ne használja ugyanazt az új jelszót más szolgáltatásban. Ha ugyanazt a jelszót más platformokon is használta, azokat is változtassa meg. Engedélyezze a többtényezős hitelesítést minden olyan fiókon, amely támogatja ezt, prioritásként kezelve az e-mail-fiókokat és minden olyan platformot, amely kapcsolódik a diák- vagy intézményi identitásához.

Másodszor, figyeljen az adathalász kísérletekre. Azok a támadók, akik az intézményi adatait tartják a kezükben, ismerik a nevét, az iskoláját, és esetleg az oktatói nevét is. Az elkövetkező hetekben az egyetemétől vagy magától a Canvastól látszólag érkező adathalász e-mailek szokatlanul meggyőzőek lesznek. Kezeljen minden kéretlen hivatkozást szkeptikusan, még akkor is, ha a feladó legitimnek tűnik.

Harmadszor, gondolja át, mennyit árulhat el böngészési tevékenysége egy ilyen jogsértés után. Amikor kompromittált fiókjába új eszközről vagy szokatlan helyről jelentkezik be, nemcsak a jelszavát követhetik potenciálisan nyomon. A böngésző-ujjlenyomat megértése itt releváns: még sütik nélkül is azonosíthatnak Önt webhelyek és rosszindulatú szereplők a böngésző és az eszköz jelzéseinek egyedi kombinációja révén. Ha hitelesítő adatai ki voltak téve, a megosztott vagy intézményi hálózatokon végzett helyreállítási tevékenység a vártnál többet fedhet fel viselkedéséről és kilétéről.

A tágabb tanulság: intézményi adatszivárgások és személyes adathigiénia

A Canvas kibertámadás diákadatszivárgása emlékeztetőül szolgál arra, hogy a személyes adathigiéniát nem lehet az adatainkat tároló intézményekre bízni. Minden méretű szervezet kerülhet adatszivárgás áldozatává. A kérdés az, hogy egy ilyen szivárgás konkrétan mekkora kárt okozhat Önnek – és a válasz szinte kizárólag a az incidens előtt hozott döntéseitől függ.

A jelszó-újrahasználat az egyéni szinten legtöbbet kihasználható sérülékenység. Ha Canvas-hitelesítő adatai egyeznek az e-mail-bejelentkezésével, a banki alkalmazásával vagy bármely más szolgáltatással, ez az összefüggés egyetlen adatlopást sokká alakít. Egy jelszókezelő szinte teljesen megszünteti ezt a problémát, és a beüzemelés után minimális folyamatos erőfeszítést igényel.

A hitelesítő adatokon túl érdemes áttekinteni, milyen információkat tárol önkéntesen az általa rendszeresen használt platformokon. A régi üzenetek, személyes adatokat tartalmazó dokumentumok és a beíráskor ártalmatlannak tűnő profiladatok évekkel az esemény után egy részletes, csaláshoz vagy social engineeringhez felhasználható profillá állhatnak össze.

Az intézményi adatszivárgások nem fognak megszűnni. A ShinyHunters és a hozzá hasonló csoportok folytatni fogják a nagy értékű adattárak célzását, és az oktatási intézmények ezen a listán maradnak. A leghatékonyabb válasz az egyéni kitettség csökkentése, hogy a következő adatszivárgás bekövetkeztekor a kockázat korlátozott legyen.

Kezdje azzal, hogy ellenőrzi a jelenlegi fiókbiztonságát az intézményi hitelesítő adatokon keresztül csatlakoztatott platformokon. Ellenőrizze, hogy e-mail-címei szerepelnek-e korábbi adatszivárgásokban egy megbízható szivárgás-értesítési szolgáltatás segítségével. És gondolja újra, mennyit fedhet fel az online tevékenysége a puszta jelszón túl – mert ahogy a böngésző-ujjlenyomat mutatja, a modern nyomkövetés révén az identitása akkor is megmaradhat, ha minden hitelesítő adatát megváltoztatja.