การละเมิดข้อมูล Canvas ครั้งที่ 2 ส่งผลกระทบต่อการสอบที่ Penn State และสถาบันอื่นๆ
เหตุการณ์การเข้าถึงโดยไม่ได้รับอนุญาตครั้งที่สองที่มุ่งเป้าไปยังแพลตฟอร์ม Canvas ของ Instructure เมื่อวันที่ 7 พฤษภาคม ได้สร้างความตื่นตะลึงไปทั่ววงการอุดมศึกษา บังคับให้มหาวิทยาลัยรวมถึง Penn State ต้องยกเลิกการสอบ จำกัดการเข้าถึงแพลตฟอร์ม และเร่งหาแผนฉุกเฉิน การละเมิดข้อมูล Canvas ที่ส่งผลกระทบต่อโรงเรียนและวิทยาลัยต่างๆ ถือเป็นการยกระดับที่น่าวิตกของการโจมตีต่อเทคโนโลยีการศึกษาแบบรวมศูนย์ ทำให้ข้อมูลทางวิชาการและข้อมูลส่วนบุคคลที่ละเอียดอ่อนของนักศึกษาหลายล้านคนตกอยู่ในความเสี่ยงโดยตรง
เกิดอะไรขึ้นในการละเมิดครั้งที่สองของ Instructure
เมื่อวันที่ 7 พฤษภาคม Instructure ได้ยืนยันเหตุการณ์การเข้าถึงโดยไม่ได้รับอนุญาตครั้งที่สองที่ส่งผลกระทบต่อระบบจัดการการเรียนรู้ Canvas แม้ว่ารายละเอียดทางเทคนิคทั้งหมดยังคงมีจำกัด แต่การละเมิดดังกล่าวเกิดขึ้นตามมาหลังจากเหตุการณ์ก่อนหน้าอย่างรวดเร็ว ชี้ให้เห็นว่าช่องโหว่เดิมอาจยังไม่ได้รับการแก้ไขอย่างสมบูรณ์ หรือผู้โจมตีพบช่องทางใหม่เข้าสู่โครงสร้างพื้นฐานของแพลตฟอร์ม
Instructure ระบุว่าปัญหาได้รับการแก้ไขในที่สุด และ Canvas กลับมาทำงานได้เต็มประสิทธิภาพ โดยไม่พบหลักฐานการเข้าถึงโดยไม่ได้รับอนุญาตอย่างต่อเนื่องในช่วงเวลาที่เปิดเผยข้อมูล อย่างไรก็ตาม การรับประกันดังกล่าวไม่เพียงพอที่จะระงับความวิตกกังวลในหมู่โรงเรียนหลายพันแห่งที่พึ่งพา Canvas สำหรับการนำเสนอหลักสูตร การประเมินผล และการจัดเก็บบันทึกนักศึกษาที่ละเอียดอ่อน
เหตุการณ์ครั้งที่สองนี้เป็นส่วนหนึ่งของรูปแบบการโจมตีที่กว้างขึ้นต่อ Instructure ดังที่ครอบคลุมในบทความ ShinyHunters Breach Hits Instructure Canvas: Students Exposed กลุ่มแฮกเกอร์ ShinyHunters ที่ฉาวโฉ่ได้ยืนยันการละเมิดครั้งก่อนที่ส่งผลกระทบต่อนักศึกษาและนักการศึกษาหลายล้านคนในสถาบันต่างๆ ทั่วโลก เหตุการณ์วันที่ 7 พฤษภาคมยิ่งทำให้การละเมิดครั้งก่อนรุนแรงขึ้น ก่อให้เกิดคำถามว่ามีการปรับปรุงด้านความปลอดภัยอย่างเพียงพอในช่วงเวลาระหว่างนั้นหรือไม่
สถาบันใดบ้างที่ได้รับผลกระทบและอย่างไร
มหาวิทยาลัย Penn State เป็นหนึ่งในสถาบันที่ได้รับผลกระทบอย่างเด่นชัดที่สุด โดยยกเลิกการสอบตามกำหนดการและจำกัดการเข้าถึง Canvas ของคณาจารย์และนักศึกษาชั่วคราว ช่วงเวลาดังกล่าวส่งผลกระทบร้ายแรงเป็นพิเศษ เนื่องจากการละเมิดเกิดขึ้นในช่วงที่วิทยาลัยและมหาวิทยาลัยหลายแห่งกำลังอยู่ในช่วงสอบปลายภาค ซึ่งเป็นช่วงที่นักศึกษาพึ่งพาแพลตฟอร์มนี้มากที่สุดสำหรับการส่งงาน การเข้าถึงสื่อการเรียน และการทำข้อสอบออนไลน์
นอกเหนือจาก Penn State ระบบมหาวิทยาลัยแคลิฟอร์เนียและมหาวิทยาลัยแห่งรัฐแคลิฟอร์เนียก็ได้รับรายงานว่าได้รับผลกระทบด้วย รวมถึงสถาบันในเวอร์จิเนียและรัฐอื่นๆ ขอบเขตระหว่างประเทศของการละเมิดที่ส่งผลกระทบต่อมหาวิทยาลัยทั่วโลก ตอกย้ำให้เห็นว่า Canvas ฝังรากลึกในโครงสร้างพื้นฐานทางวิชาการทั่วโลกเพียงใด
สำหรับนักศึกษา ผลที่ตามมาในทางปฏิบัตินั้นเกินกว่าการพลาดกำหนดส่งงาน การยกเลิกการสอบสร้างความวุ่นวายด้านตารางเวลาสำหรับนักศึกษาที่กำลังจะสำเร็จการศึกษาและผู้ที่มีข้อกำหนดทางวิชาการที่มีกรอบเวลาจำกัด คณาจารย์เผชิญกับความท้าทายในการสื่อสารกับนักศึกษาผ่านช่องทางสำรองในระยะเวลาอันสั้น และผู้บริหารต้องตัดสินใจอย่างรวดเร็วว่าจะไว้วางใจแพลตฟอร์มในขณะที่การสืบสวนกำลังดำเนินอยู่หรือไม่
เหตุใดแพลตฟอร์มการศึกษาแบบรวมศูนย์จึงเป็นความเสี่ยงด้านความเป็นส่วนตัว
การถูกโจมตีซ้ำๆ ของ Instructure เน้นให้เห็นปัญหาเชิงโครงสร้างในเทคโนโลยีการศึกษาสมัยใหม่ ได้แก่ การรวมศูนย์ข้อมูลที่ละเอียดอ่อนจากสถาบันหลายพันแห่งไว้บนโครงสร้างพื้นฐานของผู้ให้บริการรายเดียว Canvas ให้บริการแก่สถาบันการศึกษาทั่วโลกประมาณ 9,000 แห่งหรือมากกว่านั้น ขนาดดังกล่าวสร้างเป้าหมายที่มีมูลค่าสูงมากสำหรับอาชญากรไซเบอร์ เพราะการละเมิดที่ประสบความสำเร็จเพียงครั้งเดียวสามารถให้ข้อมูลทางวิชาการ ข้อมูลที่สามารถระบุตัวตนได้ และข้อมูลทางการเงินจากบุคคลหลายล้านคนในคราวเดียว
นี่คือคำจำกัดความของจุดล้มเหลวจุดเดียว เมื่อระบบโรงเรียนดำเนินการโครงสร้างพื้นฐานท้องถิ่นของตนเอง การละเมิดนั้นสร้างความเสียหายแต่ถูกจำกัดขอบเขต แต่เมื่อโรงเรียนหลายพันแห่งมอบข้อมูลให้แพลตฟอร์มเดียว ผลกระทบของการโจมตีใดๆ ก็จะกว้างขวางมาก กลุ่ม ShinyHunters ตระหนักถึงสิ่งนี้เมื่อพวกเขาอ้างว่าเข้าถึงบันทึกเกือบ 275 ล้านรายการในเหตุการณ์ที่เกี่ยวข้องกับ Instructure ดังที่อธิบายไว้ใน ShinyHunters Claims 275M Records in Instructure Breach
กรอบกฎระเบียบอย่าง FERPA ในสหรัฐอเมริกากำหนดให้สถาบันการศึกษาต้องปกป้องบันทึกของนักศึกษา แต่ภาระผูกพันและกลไกการบังคับใช้จะซับซ้อนขึ้นเมื่อข้อมูลถูกเก็บรักษาโดยผู้ให้บริการบุคคลที่สาม โรงเรียนอาจเผชิญกับความรับผิดแม้ว่าพวกเขาจะไม่ได้เป็นเป้าหมายโดยตรงของการโจมตี
วิธีที่นักศึกษาและเจ้าหน้าที่สามารถปกป้องข้อมูลทางวิชาการที่ละเอียดอ่อน
แม้ว่าการตัดสินใจด้านความปลอดภัยของสถาบันจะอยู่ในมือของผู้บริหารและฝ่ายไอที แต่มีขั้นตอนที่เป็นรูปธรรมที่นักศึกษาและเจ้าหน้าที่สามารถดำเนินการเพื่อลดความเสี่ยงส่วนบุคคลได้
ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน หากคุณใช้รหัสผ่านเดิมซ้ำในหลายแพลตฟอร์มและข้อมูลรับรอง Canvas ถูกบุกรุก ผู้โจมตีสามารถพยายามโจมตีแบบ credential-stuffing ต่ออีเมล บัญชีธนาคาร หรือบัญชีอื่นๆ ของคุณได้ ใช้ตัวจัดการรหัสผ่านเพื่อสร้างและเก็บข้อมูลรับรองที่ไม่ซ้ำกันสำหรับทุกบริการ
เปิดใช้งานการยืนยันตัวตนหลายปัจจัยทุกที่ที่เป็นไปได้ Canvas และระบบ SSO ของสถาบันส่วนใหญ่รองรับ MFA การเปิดใช้งานหมายความว่ารหัสผ่านที่ถูกขโมยเพียงอย่างเดียวไม่เพียงพอสำหรับผู้โจมตีในการเข้าถึงบัญชีของคุณ
ระวังการพยายามฟิชชิ่ง หลังจากการละเมิดครั้งใหญ่ ผู้โจมตีมักส่งอีเมลฟิชชิ่งติดตามผลโดยแอบอ้างเป็นแพลตฟอร์มที่ได้รับผลกระทบหรือสถาบันเอง ปฏิบัติต่ออีเมลที่ไม่ได้ร้องขอใดๆ ที่ขอให้คุณรีเซ็ตข้อมูลรับรองหรือยืนยันรายละเอียดบัญชีด้วยความสงสัย ไปที่ URL ทางการของสถาบันโดยตรงแทนที่จะคลิกลิงก์อีเมล
ตรวจสอบบันทึกทางวิชาการและข้อมูลส่วนบุคคลของคุณ หากสถาบันของคุณยืนยันว่าข้อมูลของคุณถูกรวมอยู่ในการละเมิด ให้พิจารณาการระงับเครดิตและตรวจสอบสัญญาณใดๆ ของการใช้ข้อมูลประจำตัวในทางที่ผิด บันทึกทางวิชาการและบัตรประจำตัวนักศึกษาสามารถถูกนำไปใช้ในการโจมตีวิศวกรรมสังคมแบบมีเป้าหมาย
ถามสถาบันของคุณสำหรับรายละเอียดเฉพาะ โรงเรียนมีภาระผูกพันภายใต้ FERPA ในการแจ้งนักศึกษาเกี่ยวกับการละเมิดที่ส่งผลกระทบต่อบันทึกของพวกเขา อย่ารอโดยไม่ดำเนินการ ติดต่อสำนักทะเบียนหรือฝ่ายไอทีของคุณและถามโดยตรงว่าข้อมูลใดที่เกี่ยวข้องและกำลังดำเนินการขั้นตอนป้องกันใดในนามของคุณ
ความหมายสำหรับคุณ
การละเมิดข้อมูล Canvas ครั้งที่สองที่ส่งผลกระทบต่อโรงเรียนและวิทยาลัยเป็นการเตือนให้ตระหนักว่าความสะดวกสบายและการรวมศูนย์มาพร้อมกับการแลกเปลี่ยน นักศึกษาหลายล้านคนเชื่อมั่นว่าสถาบันการศึกษาของพวกเขา และผู้ให้บริการที่สถาบันเหล่านั้นพึ่งพา กำลังปกป้องข้อมูลส่วนบุคคลของพวกเขา ความเชื่อมั่นนั้นถูกทดสอบถึงสองครั้งในช่วงเวลาสั้นๆ
สำหรับนักศึกษาและนักการศึกษา ลำดับความสำคัญในทางปฏิบัติขณะนี้คือการรักษาความปลอดภัยบัญชีส่วนบุคคลและเฝ้าระวังการโจมตีติดตามผล สำหรับสถาบัน การละเมิดควรกระตุ้นให้มีการทบทวนอย่างจริงจังเกี่ยวกับข้อกำหนดด้านความปลอดภัยของผู้ให้บริการ แนวปฏิบัติการลดข้อมูลให้เหลือน้อยที่สุด และการวางแผนฉุกเฉินสำหรับเมื่อแพลตฟอร์มบุคคลที่สามหยุดทำงานหรือถูกบุกรุก
เพื่อทำความเข้าใจขอบเขตเต็มรูปแบบของการโจมตีที่เชื่อมโยงกับ Instructure และผู้คุกคามที่เกี่ยวข้อง ให้ตรวจสอบรายงานการละเมิด ShinyHunters โดยละเอียดที่ลิงก์ด้านบน การรู้จักต้นกำเนิดและวิธีการเบื้องหลังเหตุการณ์เหล่านี้คือก้าวแรกสู่การสนับสนุนให้ได้รับการปกป้องที่แข็งแกร่งขึ้นจากแพลตฟอร์มที่คุณและสถาบันของคุณพึ่งพาทุกวัน
