Hvilket selskap ble rammet av bruddet, og hva er det kjent for?

Instructure, selskapet bak det mye brukte læringsstyringssystemet Canvas, bekreftet bruddet. Det betjener utdanningsinstitusjoner inkludert grunnskoler, videregående skoler, høyskoler, universiteter og bedriftsopplæringsprogrammer.

Hvor mange poster hevder ShinyHunters å ha stjålet?

ShinyHunters hevder å ha stjålet 275 millioner poster tilhørende studenter, lærere og andre personer på tvers av nesten 9 000 utdanningsinstitusjoner.

Hvilke skritt bør folk ta dersom de bruker Canvas?

Brukere bør være på vakt mot phishing-e-poster utformet til å se ut som offisielle meldinger fra skoler eller finansieringskontor. De bør også bruke unike, sterke passord for utdanningskontoer, helst administrert gjennom en passordbehandler.

ShinyHunters hevder å ha 275 millioner poster fra Instructure-brudd

Q: Hvem er ShinyHunters?

ShinyHunters er en hackergruppe med lang erfaring innen storskala datatyveri, og har rettet seg mot selskaper innen detaljhandel, finans, helsevesen og teknologisektorer. Deres typiske fremgangsmåte innebærer å stjele data og true med å publisere det med mindre offeret betaler løsepenger.

Q: Hvilke typer personlig informasjon kan ha blitt eksponert i dette bruddet?

Utdanningsregistre involvert i bruddet kan inneholde navn, e-postadresser, institusjonelle ID-er og mer sensitiv informasjon knyttet til akademiske eller administrative systemer. Disse dataene kan utnyttes til phishing, identitetssvindel og sosiale manipulasjonsangrep.

ShinyHunters hevder å ha stjålet 275 millioner poster fra edtech-giganten Instructure

Utdanningsteknologiselskapet Instructure har bekreftet et databrudd etter at den beryktede hackergruppen ShinyHunters truet med å lekke data de hevder å ha stjålet fra nesten 9 000 utdanningsinstitusjoner. Gruppen påstår å ha skaffet seg poster tilhørende 275 millioner studenter, lærere og andre personer, noe som gjør dette til ett av de største brudde noensinne rapportert innen utdanningssektoren dersom påstandene bekreftes.

Instructure, best kjent for sitt mye brukte læringsstyringssystem Canvas, har ennå ikke offentlig bekreftet det fulle omfanget av hva som ble tilgang til. Selskapet avslørte hendelsen under utpressingspress fra ShinyHunters, en gruppe med lang erfaring med storskala datatyveri og trusler om offentlige lekkasjer, utformet for å tvinge organisasjoner til å betale løsepenger.

Hvem er ShinyHunters og hvorfor bør du bry deg

ShinyHunters er ikke et ukjent navn i cybersikkerhetsmiljøer. Gruppen har blitt koblet til dusinvis av høyprofilerte brudd de siste årene, med mål i detaljhandel, finans, helsevesen og teknologisektorer. Deres typiske fremgangsmåte innebærer å eksfiltrere store mengder brukerdata for deretter å true med å publisere det på mørke nettforum med mindre offerorganisasjonen betaler.

Det som gjør denne hendelsen særlig bemerkelsesverdig, er det enorme omfanget av det påståtte tyveriet og sårbarheten til den berørte befolkningsgruppen. Studenter, hvorav mange er mindreårige, utgjør en spesielt sårbar gruppe. Utdanningsregistre kan inneholde navn, e-postadresser, institusjonelle ID-er og i noen tilfeller mer sensitiv informasjon knyttet til akademiske eller administrative systemer. Data av denne typen kan utnyttes til phishing-kampanjer, identitetssvindel og sosiale manipulasjonsangrep som kanskje ikke dukker opp i måneder eller år etter det opprinnelige bruddet.

Involveringen av nesten 9 000 institusjoner betyr også at eksponeringen er geografisk og organisatorisk utbredt, og spenner over grunnskoler, videregående skoler, høyskoler, universiteter og potensielt bedriftsopplæringsprogrammer som bruker Canvas.

Hva dette betyr for deg

Dersom du eller dine barn går på en skole, høyskole eller et universitet som bruker Instructures Canvas-plattform, kan dataene dine ha vært involvert. På dette tidspunktet er det verdt å ta flere forebyggende skritt uavhengig av om du mottar en formell varsling.

Vær først og fremst på vakt mot phishing-forsøk. Angripere som skaffer seg e-postadresser fra kompromitterte databaser, følger ofte opp med målrettede e-poster utformet til å se ut som offisielle meldinger fra skoler, finansieringskontor eller teknologileverandører. Enhver uventet e-post som ber deg klikke på en lenke, bekrefte legitimasjon eller oppdatere betalingsinformasjon, bør behandles med skepsis.

For det andre bør du vurdere å bruke unike, sterke passord for alle kontoer tilknyttet din utdanningsinstitusjon. En passordbehandler gjør dette enklere å håndtere på tvers av flere pålogginger. Dersom skolekontoen din deler passord med andre tjenester, bør du endre disse passordene nå.

For det tredje bør foreldre til mindreårige studenter være særlig oppmerksomme. Barns data er spesielt verdifull for svindlere fordi den ofte går uovervåket i årevis, noe som gir kriminelle et langt tidsvindu til å misbruke den før noen legger merke til det.

For IT-administratorer og sikkerhetsteam ved utdanningsinstitusjoner er dette bruddet en påminnelse om å revidere tredjeparts leverandørtilgang. Organisasjoner som er avhengige av plattformer som Canvas, gir ofte disse plattformene betydelig tilgang til studentinformasjonssystemer. Å gjennomgå hvilke data som deles, hvordan de lagres, og hvilke kontraktsmessige sikkerhetsforpliktelser leverandørene er underlagt, er ikke valgfritt arbeid. Det er essensiell risikostyring.

Det større problemet med sikkerhet i utdanningssektoren

Utdanning har konsekvent rangert blant de mest målrettede sektorene i rapporter om databrudd, men har også en tendens til å være blant de minst ressurssterke når det gjelder cybersikkerhetsbudsjetter og bemanning. Skoler og universiteter forvalter enorme mengder personlig identifiserbar informasjon, samtidig som de ofte opererer med eldre infrastruktur, begrenset IT-stab og stramme økonomiske rammer.

Instructure-bruddet illustrerer den forsterkede risikoen som oppstår ved å sentralisere data fra tusenvis av institusjoner gjennom én enkelt plattform. Når den plattformen blir et mål, er skadevirkningene enorme. Et brudd som i isolasjon kanskje ville påvirket én institusjon, rammer i stedet nesten 9 000 samtidig.

Dette er ikke et argument mot skybaserte edtech-plattformer, som gir reell verdi. Det er et argument for å holde disse plattformene til de høyeste sikkerhetsstandarder, og for at institusjonene skal praktisere lagdelt sikkerhet – inkludert å håndheve multifaktorautentisering, minimere unødvendig datadeling og opprettholde klare beredskapsplaner for hendelser.

Handlingsrettede råd

Overvåk kontoene dine. Se etter uvanlig påloggingsaktivitet på alle kontoer knyttet til din skole eller ditt universitet.
Oppdater passord. Endre legitimasjon for Canvas-kontoen din og andre tjenester som deler samme passord.
Aktiver multifaktorautentisering på utdanningskontoene dine dersom det er tilgjengelig.
Vær på vakt mot phishing. Vær forsiktig med uønskede e-poster som hevder å komme fra din institusjon eller direkte fra Instructure.
Foreldre: sjekk barnets digitale fotavtrykk. Vurder å legge kredittsperre på et mindreårig barns personnummer dersom du er i USA, ettersom stjålne studentdata kan misbrukes i årevis.
Institusjoner: revider leverandørtilgang. Gjennomgå hvilke data tredjeparts edtech-plattformer kan få tilgang til, og sørg for at kontrakter inkluderer klare krav til sikkerhet og varsling ved brudd.

Det fulle omfanget av Instructure-databruddet er fortsatt under utvikling. Etter hvert som flere detaljer blir tilgjengelige, bør berørte personer og institusjoner følge offisiell veiledning fra Instructure og forbli årvåkne. Brudd av denne skalaen tar tid å forstå fullt ut, men trinnene ovenfor kan redusere eksponeringen din allerede fra i dag.

ShinyHunters hevder å ha stjålet 275 millioner poster fra edtech-giganten Instructure

Hvem er ShinyHunters og hvorfor bør du bry deg

Hva dette betyr for deg

Det større problemet med sikkerhet i utdanningssektoren

Handlingsrettede råd

// FAQ

// Relatert