คณะกรรมาธิการความมั่นคงแห่งมาตุภูมิสภาผู้แทนราษฎรสอบสวนการละเมิดข้อมูลนักเรียนของ Canvas
วิกฤตความเป็นส่วนตัวจากการละเมิดข้อมูลนักเรียนของ Canvas ได้ลุกลามถึงรัฐสภา คณะกรรมาธิการความมั่นคงแห่งมาตุภูมิสภาผู้แทนราษฎรได้เปิดการสอบสวนอย่างเป็นทางการต่อ Instructure บริษัทเจ้าของระบบจัดการการเรียนรู้ Canvas ที่ใช้งานอย่างแพร่หลาย โดยเรียกร้องให้มีการชี้แจงเกี่ยวกับความบกพร่องด้านความปลอดภัยที่เปิดโอกาสให้อาชญากรไซเบอร์ขโมยข้อมูลนักเรียนและออกคำขู่กรรโชกต่อสถาบันการศึกษาหลายพันแห่ง
การยกระดับเรื่องนี้สู่รัฐสภาถือเป็นการเปลี่ยนแปลงครั้งสำคัญในเหตุการณ์ละเมิดข้อมูลที่ได้สร้างความสั่นสะเทือนให้กับโรงเรียนต่าง ๆ ขัดขวางการสอบปลายภาค และเปิดเผยข้อมูลส่วนบุคคลของนักเรียนหลายสิบล้านคน สำหรับผู้ปกครอง นักเรียน และนักการศึกษา สารที่ได้รับชัดเจน: เหตุการณ์นี้ไม่ใช่แค่ปัญหาของบริษัทเทคโนโลยีที่จะจัดการอย่างเงียบ ๆ อีกต่อไปแล้ว
สิ่งที่การสอบสวนของคณะกรรมาธิการความมั่นคงแห่งมาตุภูมิสภาผู้แทนราษฎรเรียกร้องจาก Instructure
สมาชิกรัฐสภาในคณะกรรมาธิการความมั่นคงแห่งมาตุภูมิไม่ได้รอให้ Instructure ตอบคำถามโดยสมัครใจ การสอบสวนของคณะกรรมาธิการมุ่งเน้นไปที่ความบกพร่องด้านความปลอดภัยที่ทำให้เกิดการละเมิด วิธีที่บริษัทตอบสนองเมื่อพบการบุกรุก และมาตรการป้องกันข้อมูลนักเรียนที่มีอยู่บนแพลตฟอร์มของตน
การที่คณะกรรมาธิการรัฐสภาเข้ามาเกี่ยวข้องนั้นเพิ่มแรงกดดันด้านการกำกับดูแลอย่างเป็นทางการ ซึ่งจดหมายแจ้งเตือนจากบริษัทไม่สามารถทำได้ Instructure จะต้องให้รายละเอียดเกี่ยวกับโครงสร้างความปลอดภัย ไทม์ไลน์การตอบสนองต่อเหตุการณ์ และวิธีจัดการกับคำขู่กรรโชก การสอบสวนของรัฐสภาประเภทนี้ยังอาจนำไปสู่การออกกฎหมาย รวมถึงข้อกำหนดใหม่เกี่ยวกับวิธีที่ผู้ให้บริการ EdTech จัดเก็บและปกป้องข้อมูลนักเรียน
การละเมิดดังกล่าวถูกระบุว่ากระทำโดยกลุ่มแฮกเกอร์ ShinyHunters ซึ่งอ้างความรับผิดชอบในการขโมยข้อมูลนักเรียนกว่า 275 ล้านรายการ รวมถึงชื่อ ที่อยู่อีเมล หมายเลขประจำตัวนักเรียน และข้อความส่วนตัว จากนั้นกลุ่มดังกล่าวได้ยกระดับปฏิบัติการอย่างก้าวร้าว ก้าวข้ามไปไกลกว่าแค่การขโมยข้อมูล
เหตุใดข้อมูลนักเรียนจึงเป็นเป้าหมายมูลค่าสูงของอาชญากรไซเบอร์
ข้อมูลนักเรียนอาจดูเหมือนไม่มีมูลค่าทันทีเท่ากับข้อมูลบัญชีการเงิน แต่มีคุณค่าอย่างน่าทึ่งในตลาดอาชญากรด้วยเหตุผลหลายประการ คนหนุ่มสาว รวมถึงผู้เยาว์ มักมีประวัติเครดิตที่สะอาดและหมายเลขประกันสังคมที่ยังไม่เคยถูกใช้เพื่อการฉ้อโกงทางการเงิน ทำให้พวกเขาเป็นเป้าหมายที่น่าสนใจสำหรับการโจรกรรมข้อมูลประจำตัวที่อาจตรวจไม่พบเป็นเวลาหลายปี
นอกเหนือจากการฉ้อโกงข้อมูลประจำตัว ข้อมูลที่ประกอบด้วยที่อยู่อีเมล หมายเลขประจำตัวนักเรียน และข้อความส่วนตัว ยังสามารถนำไปใช้ในการโจมตีแบบฟิชชิง การโจมตีแบบ credential stuffing และแผนการหลอกลวงทางวิศวกรรมสังคมที่มุ่งเป้าไปยังทั้งนักเรียนและครอบครัว คำขู่กรรโชก เช่นที่ออกมาในการละเมิดครั้งนี้ ยังมีน้ำหนักทางจิตวิทยาเมื่อเหยื่อเป็นนักเรียนที่กำลังเผชิญกับกำหนดเส้นตายทางวิชาการ
ShinyHunters แสดงให้เห็นอย่างชัดเจนว่าแผนการนี้สามารถก้าวร้าวได้เพียงใด ดังที่รายงานก่อนหน้านี้ กลุ่มดังกล่าวทำลายหน้าล็อกอินของโรงเรียนด้วยข้อความเรียกค่าไถ่ เปลี่ยนการขโมยข้อมูลให้กลายเป็นแคมเปญข่มขู่ต่อสาธารณะที่ออกแบบมาเพื่อกดดันสถาบันให้จ่ายเงิน
วิธีที่ผู้ให้บริการ EdTech รวบรวมและเปิดเผยข้อมูลนักเรียนที่ละเอียดอ่อน
Canvas ถูกใช้งานโดยสถาบันเกือบ 9,000 แห่งทั่วโลก ซึ่งหมายความว่าการละเมิดจากผู้ให้บริการรายเดียวมีผลทวีคูณที่แตกต่างจากเกือบทุกภาคส่วน เมื่อมหาวิทยาลัยเก็บข้อมูลนักเรียนในระบบภายใน การละเมิดจะส่งผลต่อวิทยาเขตนั้น แต่เมื่อระบบจัดการการเรียนรู้บนคลาวด์ถูกเจาะระบบ การเปิดเผยข้อมูลจะขยายไปพร้อมกันทั่วโรงเรียนหลายพันแห่ง
แพลตฟอร์ม EdTech รวบรวมข้อมูลหลากหลายประเภทตามการดำเนินงานปกติ การส่งงาน ข้อความส่วนตัวระหว่างนักเรียนและผู้สอน กิจกรรมการเข้าสู่ระบบ ตัวบ่งชี้ผลการเรียน และข้อมูลที่ระบุตัวตนได้ล้วนถูกประมวลผลผ่านระบบเหล่านี้ การรวบรวมข้อมูลส่วนใหญ่จำเป็นต่อการทำงานของแพลตฟอร์ม แต่สร้างสภาพแวดล้อมข้อมูลที่กระจุกตัวซึ่งดึงดูดผู้โจมตีโดยเนื้อแท้
การละเมิดของ Canvas ยังเผยให้เห็นว่าเหตุการณ์เดียวสามารถลุกลามได้อย่างไร เหตุการณ์การเข้าถึงโดยไม่ได้รับอนุญาตครั้งที่สองในวันที่ 7 พฤษภาคม บังคับให้มหาวิทยาลัยรวมถึง Penn State ยกเลิกการสอบและจำกัดการเข้าถึงแพลตฟอร์ม แสดงให้เห็นว่าการอ้างว่าควบคุมเบื้องต้นได้แล้วไม่ได้สะท้อนขอบเขตเต็มของการบุกรุกเสมอไป
สิ่งที่ผู้ปกครองและนักเรียนที่ตระหนักด้านความเป็นส่วนตัวสามารถทำได้ในตอนนี้
การกำกับดูแลของรัฐสภามีความสำคัญ แต่ความรับผิดชอบของสถาบันนั้นดำเนินไปอย่างช้า ๆ ในระหว่างนี้ มีขั้นตอนที่เป็นรูปธรรมที่นักเรียน ผู้ปกครอง และนักการศึกษาสามารถดำเนินการเพื่อลดความเสี่ยงได้
ตรวจสอบว่าสถาบันของคุณได้รับผลกระทบหรือไม่ ติดต่อฝ่ายไอทีของโรงเรียนโดยตรงและถามว่าข้อมูลเฉพาะใดที่อาจถูกเปิดเผยผ่าน Canvas อย่าพึ่งพาเฉพาะจดหมายแจ้งเตือนการละเมิด ซึ่งอาจล่าช้าหรือไม่ครบถ้วน
ติดตามการฉ้อโกงข้อมูลประจำตัว โดยเฉพาะสำหรับผู้เยาว์ หากชื่อ อีเมล และหมายเลขประจำตัวนักเรียนของนักเรียนถูกเปิดเผย ควรพิจารณาระงับสินเชื่อในนามของพวกเขา สำหรับผู้เยาว์ มักถูกมองข้ามเพราะเด็กโดยทั่วไปไม่มีไฟล์สินเชื่อที่ใช้งานอยู่ แต่นั่นคือเหตุผลที่ข้อมูลของพวกเขามีคุณค่าต่อผู้ฉ้อโกง
เปลี่ยนรหัสผ่านและเปิดใช้งานการยืนยันตัวตนหลายปัจจัย บัญชีใด ๆ ที่ใช้อีเมลและรหัสผ่านชุดเดียวกับที่เข้าสู่ระบบ Canvas ควรได้รับการอัปเดตทันที เปิดใช้งานการยืนยันตัวตนหลายปัจจัยบนบัญชีอีเมลและแพลตฟอร์มที่เกี่ยวข้องกับการศึกษาทุกแพลตฟอร์ม
ระวังการโจมตีแบบฟิชชิง ที่อยู่อีเมลที่ถูกเปิดเผยมีแนวโน้มที่จะถูกนำไปใช้ในแคมเปญฟิชชิงต่อเนื่อง นักเรียนและผู้ปกครองควรระมัดระวังอีเมลที่ขอข้อมูลการเข้าสู่ระบบ ข้อมูลทางการเงิน หรือการดำเนินการเร่งด่วนเป็นพิเศษ
ใช้ VPN บนเครือข่ายสาธารณะหรือที่ใช้ร่วมกัน สภาพแวดล้อม Wi-Fi ของวิทยาเขตและสาธารณะเป็นช่องทางที่พบบ่อยสำหรับการสกัดกั้นข้อมูลประจำตัว VPN ที่น่าเชื่อถือเพิ่มชั้นการเข้ารหัสที่ปกป้องกิจกรรมการเข้าสู่ระบบบนเครือข่ายที่คุณไม่ได้ควบคุม
การสอบสวนของคณะกรรมาธิการความมั่นคงแห่งมาตุภูมิสภาผู้แทนราษฎรเป็นขั้นตอนที่จำเป็นสู่การสร้างความรับผิดชอบ แต่จะต้องใช้เวลาในการให้ผล การทำความเข้าใจต้นตอและขอบเขตเต็มของการละเมิดนี้ รวมถึงวิธีที่ ShinyHunters เข้าถึงระบบของ Instructure ในขั้นแรกและขนาดของสิ่งที่ถูกขโมยไป เป็นบริบทสำคัญสำหรับทุกคนที่ประเมินความเสี่ยงของตนเอง การติดตามข่าวสาร การตรวจสอบข้อมูลของคุณ และการดำเนินการป้องกันขั้นพื้นฐานในตอนนี้ เป็นการตอบสนองที่มีประสิทธิภาพมากที่สุดที่มีอยู่ขณะที่การสอบสวนดำเนินต่อไป
