ShinyHunters атакует Canvas: под угрозой 275 миллионов студенческих записей

ShinyHunters атакует Canvas: под угрозой 275 миллионов студенческих записей

Утечка данных студентов в результате кибератаки на Canvas, затронувшей почти 9 000 учебных заведений по всему миру, снова в сети, однако угроза никуда не исчезла. Хакерская группа ShinyHunters взяла на себя ответственность за атаку на широко используемую платформу управления обучением, заявив, что получила доступ к записям до 275 миллионов человек, включая студентов, преподавателей и административный персонал. Группа пригрозила опубликовать данные, если не будет выплачен выкуп, превратив сбой в работе сервиса в долгосрочную угрозу конфиденциальности для миллионов людей.

Canvas, управляемая компанией Instructure, является одной из наиболее широко распространённых систем управления обучением в мире. Именно её масштаб сделал её мишенью.

Почему образовательные платформы вроде Canvas становятся главными целями для атак с требованием выкупа

Школы и университеты занимают особенно уязвимое положение в экономике программ-вымогателей. Они хранят огромное количество конфиденциальных персональных данных — от записей о несовершеннолетних и сведений о финансовой помощи до информации о трудоустройстве сотрудников и институциональных учётных данных. Тем не менее они, как правило, работают с более ограниченными бюджетами на безопасность, чем финансовые учреждения или крупные корпорации, а их сети намеренно создаются открытыми и доступными для поддержки учебного процесса.

Системы управления обучением, такие как Canvas, особенно привлекательны, поскольку находятся на пересечении идентификации, коммуникации и записей. Утечка раскрывает не просто имя пользователя и пароль. Она может обнажить сданные задания, личные сообщения, историю оценок, данные о зачислении, а в некоторых случаях — финансовые или медицинские записи, связанные с профилями студентов. Именно эта глубина информации отличает утечку данных образовательной платформы от простого слива учётных данных.

ShinyHunters — не новый игрок. Ранее группа была связана с масштабными операциями по краже данных, направленными против потребительских платформ. Их переход к атакам на образовательную инфраструктуру свидетельствует о расчётливой эскалации: удары наносятся по секторам, где давление из-за простоя высоко, а выбор времени — в разгаре семестра и накануне финальных экзаменов во многих учреждениях — максимально усиливает рычаги давления.

Какие данные ShinyHunters заявляет о краже и что находится под угрозой

Группа заявляет, что похитила записи 275 миллионов человек — цифра, которая, если она точна, сделает это одной из крупнейших утечек данных в секторе образования за всё время. В числе предположительно украденных категорий данных — личные сообщения, переписывавшиеся на платформе, сведения о зачислении и успеваемости, а также персональные данные студентов и сотрудников.

Для затронутых пользователей профиль риска многоуровневый. На самом базовом уровне раскрытые адреса электронной почты и пароли могут использоваться в атаках с подстановкой учётных данных на других платформах. Более серьёзную обеспокоенность вызывает потенциальное раскрытие истории институциональной переписки. Личные сообщения между студентами и преподавателями, запросы об академических послаблениях и споры об оценках могут быть использованы для целевого фишинга, социальной инженерии или даже вымогательства на индивидуальном уровне.

Несовершеннолетние представляют отдельную проблему. Многие учреждения системы K-12 используют Canvas, а значит, какая-то часть из заявленных 275 миллионов записей может принадлежать детям до 13 лет, что влечёт дополнительные правовые обязательства по уведомлению в соответствии с такими законами, как COPPA в Соединённых Штатах.

Немедленные шаги, которые должны предпринять пользователи Canvas для защиты себя

Восстановление работы платформы не означает, что угроза миновала. Данные, которые уже были похищены, по-прежнему находятся в руках злоумышленников вне зависимости от статуса работоспособности сервиса. Вот что пользователям следует сделать прямо сейчас.

Во-первых, немедленно измените пароль Canvas и не используйте новый пароль ни на каком другом сервисе. Если вы использовали тот же пароль на других платформах, смените их тоже. Включите многофакторную аутентификацию на каждом аккаунте, который её поддерживает, уделив приоритетное внимание учётным записям электронной почты и любым платформам, связанным с вашей студенческой или институциональной личностью.

Во-вторых, будьте настороже в отношении фишинговых попыток. Злоумышленники, располагающие вашими институциональными данными, знают ваше имя, ваш университет и, возможно, имена ваших преподавателей. Фишинговые письма, якобы поступающие от вашего университета или от самого Canvas, в ближайшие недели будут выглядеть особенно убедительно. Относитесь к любой нежелательной ссылке с подозрением, даже если отправитель кажется легитимным.

В-третьих, задумайтесь о том, сколько информации о вас может раскрыть активность в браузере после подобной утечки. Когда вы входите в скомпрометированный аккаунт с нового устройства или из необычного места, потенциально отслеживается нечто большее, чем просто ваш пароль. Здесь уместно понимание отпечатка браузера: даже без файлов cookie веб-сайты и злоумышленники могут идентифицировать вас по уникальной комбинации сигналов браузера и устройства. Если ваши учётные данные были раскрыты, восстановительная активность в общих или институциональных сетях может раскрыть о вашем поведении и личности больше, чем вы ожидаете.

Более широкий урок: институциональные утечки и гигиена ваших персональных данных

Утечка данных студентов в результате кибератаки на Canvas напоминает: личную гигиену данных нельзя перекладывать на учреждения, которые хранят вашу информацию. Организации любого размера подвергаются взломам. Вопрос в том, какой ущерб утечка может нанести лично вам, — и ответ почти целиком зависит от решений, которые вы приняли до инцидента.

Повторное использование паролей по-прежнему остаётся наиболее эксплуатируемой уязвимостью на индивидуальном уровне. Если ваши учётные данные Canvas совпадают с логином электронной почты, банковским приложением или любым другим сервисом, эта связь превращает одну утечку во множество. Менеджер паролей практически полностью устраняет эту проблему и требует минимальных постоянных усилий после настройки.

Помимо учётных данных, стоит проверить, какую информацию вы добровольно сохранили на регулярно используемых платформах. Старые сообщения, документы с личной информацией и сведения профиля, казавшиеся безобидными при вводе, могут в совокупности составить подробный профиль, полезный для мошенничества или социальной инженерии спустя годы.

Институциональные утечки никуда не денутся. ShinyHunters и подобные им группы продолжат атаковать высокоценные хранилища данных, и образовательные учреждения останутся в этом списке. Наиболее эффективный ответ — сократить вашу индивидуальную уязвимость, чтобы при следующей утечке ваш риск был минимальным.

Начните с аудита текущей безопасности аккаунтов на платформах, к которым вы подключаетесь через институциональные учётные данные. Проверьте, появлялись ли ваши адреса электронной почты в предыдущих утечках, воспользовавшись авторитетным сервисом уведомлений об утечках. И пересмотрите, сколько информации о вас может раскрыть ваша онлайн-активность помимо простого пароля — ведь, как показывает отпечаток браузера, современные методы отслеживания означают, что ваша личность может сохраняться даже после смены всех учётных данных.