Melyik kiberbűnözői csoport felelős a Penn Canvas adatszegéséért?

Az adatszegést a ShinyHunters hajtotta végre, egy kiberbűnözői csoport, amelyet több nagy horderejű adatlopáshoz kötöttek, amelyek centralizált személyes adatokat nagy mennyiségben tároló szervezeteket céloztak meg.

A támadás a Pennsylvaniai Egyetem saját rendszereiből indult ki?

Nem, a támadás úgy tűnik, hogy az Instructure-nél, az upstream szállítónál indult, amely tulajdonolja és üzemelteti a Canvas platformot, nem pedig a Penn saját infrastruktúrájánál.

Miért tekintik az egyetemeket vonzó célpontoknak a zsarolóvírus-csoportok számára?

Az egyetemek nagy mennyiségű személyazonosításra alkalmas információt gyűjtenek, kiszámítható, nagy nyomással járó akadémiai naptárak szerint működnek, és informatikai költségvetésük gyakran elmarad a modern kiberbiztonsági fenyegetésektől.

A ShinyHunters lecsap a Penn Canvas-ra, 300 ezer felhasználó veszélyben

Q: Hány felhasználó van veszélyben a Penn Canvas adatszegése miatt?

Több mint 300 000 Penn-affiliált van veszélyben, a feltört adatok állítólag tanfolyami beiratkozási nyilvántartásokat és belső üzeneteket tartalmaznak.

Q: Milyen váltságdíj-határidőt szabott a ShinyHunters?

A ShinyHunters május 12-i határidőt szabott a váltságdíj-tárgyalásokra, azzal fenyegetőzve, hogy nyilvánosságra hozza az ellopott fájlokat, ha az egyetem nem teljesíti követeléseit.

A ShinyHunters lecsap a Penn Canvas-ra, 300 ezer felhasználó veszélyben

A ShinyHunters kiberbűnözői csoport offline állapotba kényszerítette a Pennsylvaniai Egyetem Canvas tanulási portálját, miután azt állítja, hogy több mint 300 000 Penn-affiliált adatait lopta el. A csoport május 12-i határidőt szabott a váltságdíj-tárgyalásokra, azzal fenyegetőzve, hogy nyilvánosságra hozza az ellopott fájlokat, ha az egyetem nem teljesíti követeléseit. Az incidens az Instructure elleni szélesebb körű adatszegés részét képezi – az Instructure az a vállalat, amely tulajdonolja és üzemelteti az ország számos egyeteme és iskolája által használt Canvas platformot.

A feltört adatok állítólag tanfolyami beiratkozási nyilvántartásokat és belső üzeneteket tartalmaznak – olyan érzékeny intézményi információkat, amelyeket a hallgatók, az oktatók és az alkalmazottak soha nem számítanának arra, hogy bűnözők kezébe kerülnek. Egy olyan közösség számára, amely nap mint nap használja egyetemi fiókjait, az adatszegés egyszerre logisztikai fennakadás és komoly adatvédelmi aggály.

Mi az a ShinyHunters, és miért fontos ez?

A ShinyHunters neve nem ismeretlen a kiberbiztonsági körökben. A csoportot az elmúlt néhány évben számos nagy horderejű adatlopáshoz kötötték, amelyek olyan szervezeteket céloztak meg, ahol nagy mennyiségű személyes adat összpontosul centralizált platformokon. Az oktatási intézmények szinte tökéletesen illeszkednek ebbe a profilba: neveket, e-mail-címeket, beiratkozási adatokat, pénzügyi információkat, tanulmányi nyilvántartásokat és magánlevelezést gyűjtenek össze, amelyek mind olyan rendszerekben tárolódnak, amelyek biztonsági szempontból gyakran alulfinanszírozottak.

Ebben az esetben a támadási vektor úgy tűnik, hogy az Instructure-nél, az upstream szállítónál indult, nem pedig a Penn saját infrastruktúrájánál. Ez a különbségtétel fontos. Még ha egy egyetemnek szilárd belső biztonsági gyakorlatai is vannak, csak annyira védett, amennyire azok a harmadik feles platformok, amelyektől függ. Ez egy strukturális sebezhetőség, amely gyakorlatilag minden, felhőalapú tanulásirányítási rendszert használó intézményt érint.

A május 12-i váltságdíj-határidő sürgősséget ad egy amúgy is zavaros helyzethez. A hallgatók és az oktatók elvesztették a hozzáférést a tananyagokhoz, feladatokhoz és kommunikációs csatornákhoz az akadémiai naptár egy kritikus pontján – emlékeztetőül arra, hogy a zsarolóvírus-támadások az ellopott adatokon túlmutató, valós következményekkel járnak.

Miért vonzó célpontok az egyetemek?

A felsőoktatási intézmények a zsarolóvírus-csoportok és az adatbrókerek egyaránt preferált vadászterületévé váltak. Számos tényező teszi őket vonzó célponttá.

Először is, az egyetemek hatalmas mennyiségű személyazonosításra alkalmas információt tárolnak tízezer emberről, amelyek gyakran kiskorúakat is magukban foglalnak a kettős beiratkozási programokban. Másodszor, az akadémiai naptárak kiszámítható, nagy nyomással járó időablakokat teremtenek – például a vizsgaidőszakokat –, amikor egy rendszerkimaradás maximális kárt okoz, és növeli a gyors kifizetés valószínűségét. Harmadszor, a legtöbb egyetemen az informatikai költségvetés versengő prioritások között oszlik meg, ami azt jelenti, hogy a biztonsági infrastruktúra elmaradhat a modern fenyegetési szereplők kifinomultságától.

A Penn-féle adatszegés egy olyan mintát követ, amelyet az elmúlt években tucatnyi intézménynél tapasztaltak. Ha egyetlen szállítót, mint például az Instructure-t feltörnek, a robbanás sugara kiterjed minden ügyfélintézményre, ami a támadó számára gazdaságilag rendkívül hatékonnyá teszi a támadást.

Mit jelent ez az Ön számára?

Ha Ön hallgató, oktató vagy alkalmazott a Pennél vagy bármely más Canvas-t használó intézménynél, ez az adatszegés közvetlen jelzés arra, hogy tekintse át az intézményi fiókjaihoz kapcsolódó digitális higiéniáját.

Kezdje a jelszavával. Az egyetemi hitelesítő adatokat gyakran újra felhasználják személyes e-mailekhez, közösségi médiához és más szolgáltatásokhoz. Ha a Penn-es bejelentkezési jelszava megegyezik bármi mással, amit használ, változtassa meg most az összes platformon. Engedélyezze a többtényezős hitelesítést minden olyan fiókon, amely támogatja azt, prioritásként kezelve az e-mailt és minden pénzügyi vagy tanulmányi nyilvántartáshoz kötött fiókot.

Legyen óvatos az adathalász kísérletekkel szemben az elkövetkező hetekben. Azok a támadók, akik beiratkozási adatokat és belső üzeneteket szereztek, rendkívül meggyőző e-maileket tudnak összeállítani, amelyek látszólag az egyetem adminisztrációjától vagy oktatóktól érkeznek. Ha váratlan üzenetet kap, amelyben egy linkre kattintást vagy hitelesítő adatok megadását kérik, ellenőrizze azt hivatalos csatornákon keresztül, mielőtt bármilyen lépést tenne.

Érdemes átgondolni az adatminimalizálás tágabb elvét is. Minél több személyes adat tárolódik egyetlen platformon, annál nagyobb a kitettség, ha azt a platformot feltörik. Ahol lehetséges, kerülje az érzékeny személyes adatok tárolását intézményi rendszerekben a szükségesnél nagyobb mértékben.

Azon felhasználók számára, akik megosztott hálózatokról – például campusos Wi-Fi-ről vagy nyilvános hotspotokról – érik el az egyetemi rendszereket, egy megbízható VPN használata csökkentheti a hitelesítő adatok átvitel közbeni elfogásának kockázatát. Bár egy VPN nem akadályozta volna meg az Instructure-féle adatszegést, a kapcsolat védelme megalapozott alap szokás mindazok számára, akik rendszeresen kezelnek érzékeny bejelentkezési adatokat.

Legfontosabb tanulságok

A ShinyHunters Penn Canvas rendszere elleni támadása emlékeztetőül szolgál arra, hogy egyetlen intézmény sem elég nagy vagy elég küldetésorientált ahhoz, hogy ne legyen célponttá. Az olyan upstream szállítók, mint az Instructure feltörése megmutatja, hogy az egyes intézmények áldozattá válhatnak anélkül is, hogy saját rendszereiket közvetlen támadás érné.

A több mint 300 000 érintett ember számára, akiknek adatai esetleg ki lettek téve, az azonnali lépések egyértelműek: változtassák meg jelszavaikat, engedélyezzék a többtényezős hitelesítést, és legyenek éberek az adathalász kísérletekkel szemben. Az egyetemi adminisztrátorok és informatikai csapatok számára az incidens megerősíti a szigorú szállítói biztonsági értékelések és a szerződéses adatminimalizálási követelmények szükségességét.

A május 12-i határidő elmúlik, de az egyszer ellopott mögöttes adatok nem tűnnek el. Akár tárgyal a Penn, akár visszautasítja a követeléseket, az érintett felhasználóknak azzal a feltételezéssel kell élniük, hogy adataik forgalomban vannak, és ennek megfelelő védőlépéseket kell tenniük.

A ShinyHunters lecsap a Penn Canvas-ra, 300 ezer felhasználó veszélyben

Mi az a ShinyHunters, és miért fontos ez?

Miért vonzó célpontok az egyetemek?

Mit jelent ez az Ön számára?

Legfontosabb tanulságok

// GYIK

// Kapcsolódó