ShinyHunters rivendica 275 milioni di record nella violazione di Instructure

ShinyHunters rivendica il furto di 275 milioni di record dal gigante dell'edtech Instructure

La società di tecnologia educativa Instructure ha confermato una violazione dei dati dopo che il noto gruppo di hacker ShinyHunters ha minacciato di divulgare i dati che afferma di aver sottratto a quasi 9.000 istituzioni educative. Il gruppo sostiene di aver ottenuto record appartenenti a 275 milioni di studenti, insegnanti e altri individui, il che renderebbe questa una delle più grandi violazioni mai registrate nel settore dell'istruzione, qualora le affermazioni venissero verificate.

Instructure, nota soprattutto per il suo ampiamente utilizzato sistema di gestione dell'apprendimento Canvas, non ha ancora confermato pubblicamente la piena portata di ciò che è stato consultato. L'azienda ha reso nota l'incidenza sotto la pressione estorsiva di ShinyHunters, un gruppo con una lunga storia di furti di dati su larga scala e minacce di divulgazione pubblica progettate per costringere le organizzazioni a pagare riscatti.

Chi è ShinyHunters e perché dovresti preoccuparti

ShinyHunters non è un nome nuovo negli ambienti della sicurezza informatica. Il gruppo è stato collegato a decine di violazioni di alto profilo negli ultimi anni, prendendo di mira aziende nei settori della vendita al dettaglio, della finanza, della sanità e della tecnologia. Il loro approccio tipico prevede l'esfiltrazione di grandi volumi di dati degli utenti, seguita dalla minaccia di pubblicarli su forum del dark web a meno che l'organizzazione vittima non paghi.

Ciò che rende questo particolare incidente degno di nota è la pura portata del furto dichiarato e la sensibilità della popolazione coinvolta. Gli studenti, molti dei quali sono minorenni, rappresentano un gruppo particolarmente vulnerabile. I registri scolastici possono includere nomi, indirizzi e-mail, ID istituzionali e, in alcuni casi, informazioni più sensibili legate a sistemi accademici o amministrativi. Dati di questa natura possono essere sfruttati per campagne di phishing, frodi d'identità e attacchi di ingegneria sociale che potrebbero non emergere per mesi o anni dopo la violazione iniziale.

Il coinvolgimento di quasi 9.000 istituzioni significa anche che l'esposizione è geograficamente e organizzativamente diffusa, abbracciando scuole K-12, college, università e potenzialmente programmi di formazione aziendale che utilizzano Canvas.

Cosa significa questo per te

Se tu o i tuoi figli frequentate una scuola, un college o un'università che utilizza la piattaforma Canvas di Instructure, i vostri dati potrebbero essere stati coinvolti. In questa fase, vale la pena adottare alcune misure precauzionali indipendentemente dal fatto che si riceva una notifica ufficiale.

Prima di tutto, sii vigile nei confronti dei tentativi di phishing. Gli aggressori che ottengono indirizzi e-mail da database violati seguono frequentemente con e-mail mirate progettate per sembrare comunicazioni ufficiali provenienti da scuole, uffici di aiuti finanziari o fornitori di tecnologia. Qualsiasi e-mail inaspettata che ti chieda di cliccare su un link, verificare le credenziali o aggiornare le informazioni di pagamento dovrebbe essere trattata con scetticismo.

In secondo luogo, considera di utilizzare password uniche e robuste per tutti gli account collegati alla tua istituzione scolastica. Un gestore di password rende più facile gestire più accessi. Se il tuo account scolastico condivide una password con altri servizi, cambia quelle password ora.

In terzo luogo, i genitori di studenti minorenni dovrebbero prestare particolare attenzione. I dati dei bambini sono particolarmente preziosi per i truffatori perché spesso non vengono monitorati per anni, offrendo ai criminali un lungo lasso di tempo per utilizzarli in modo improprio prima che qualcuno se ne accorga.

Per gli amministratori IT e i team di sicurezza delle istituzioni educative, questa violazione è un promemoria per verificare l'accesso dei fornitori terzi. Le organizzazioni che si affidano a piattaforme come Canvas spesso concedono a queste piattaforme un accesso significativo ai sistemi informativi degli studenti. Esaminare quali dati vengono condivisi, come vengono archiviati e a quali obblighi contrattuali di sicurezza sono tenuti i fornitori non è un lavoro facoltativo. È una gestione del rischio essenziale.

Il problema più ampio della sicurezza nel settore dell'istruzione

L'istruzione si è costantemente classificata tra i settori più presi di mira nei rapporti sulle violazioni dei dati, eppure tende anche a essere tra i meno dotati di risorse in termini di budget e personale per la sicurezza informatica. Scuole e università gestiscono enormi quantità di informazioni personali identificabili operando spesso con infrastrutture legacy, personale IT limitato e vincoli finanziari stringenti.

La violazione di Instructure illustra il rischio cumulativo che deriva dalla centralizzazione dei dati di migliaia di istituzioni attraverso un'unica piattaforma. Quando quella piattaforma diventa un obiettivo, il raggio d'azione è enorme. Una violazione che potrebbe colpire una singola istituzione in isolamento colpisce invece quasi 9.000 simultaneamente.

Questo non è un argomento contro le piattaforme edtech basate sul cloud, che offrono un valore reale. È un argomento a favore del fatto che tali piattaforme siano tenute ai più alti standard di sicurezza e che le istituzioni pratichino una sicurezza a più livelli, inclusa l'applicazione dell'autenticazione a più fattori, la riduzione al minimo della condivisione non necessaria dei dati e il mantenimento di piani chiari di risposta agli incidenti.

Misure concrete da adottare

• Monitora i tuoi account. Tieni d'occhio le attività di accesso insolite su qualsiasi account collegato alla tua scuola o università.
• Aggiorna le password. Cambia le credenziali del tuo account Canvas e di qualsiasi altro servizio che condivide la stessa password.
• Attiva l'autenticazione a più fattori sui tuoi account scolastici, se disponibile.
• Attenzione al phishing. Sii cauto riguardo alle e-mail non richieste che affermano di provenire dalla tua istituzione o direttamente da Instructure.
• Genitori: verificate l'impronta digitale di vostro figlio. Valutate la possibilità di congelare il credito sul codice fiscale di un figlio minorenne se siete negli Stati Uniti, poiché i dati degli studenti rubati possono essere utilizzati in modo improprio per anni.
• Istituzioni: verificate l'accesso dei fornitori. Esaminate a quali dati possono accedere le piattaforme edtech di terze parti e assicuratevi che i contratti includano requisiti chiari in materia di sicurezza e notifica delle violazioni.

La piena portata della violazione dei dati di Instructure è ancora in fase di definizione. Man mano che emergono ulteriori dettagli, gli individui e le istituzioni coinvolte dovrebbero seguire le indicazioni ufficiali di Instructure e rimanere vigili. Le violazioni di questa portata richiedono tempo per essere comprese appieno, ma i passaggi sopra indicati possono ridurre la tua esposizione a partire da oggi.