การละเมิดข้อมูลโดย ShinyHunters กระทบ Canvas ส่งผลกระทบต่อการสอบปลายภาคที่มหาวิทยาลัย Princeton

ในช่วงเวลาที่เลวร้ายที่สุดช่วงหนึ่งของปีการศึกษา แพลตฟอร์มการเรียนรู้ Canvas ได้ล่มลง นักศึกษามหาวิทยาลัย Princeton ที่พยายามเข้าสู่ระบบเพื่อส่งข้อสอบปลายภาคและเข้าถึงเนื้อหารายวิชาต่างประสบกับปัญหาการขัดข้อง เนื่องจากการโจมตีทางไซเบอร์ที่ระบุว่ากระทำโดยกลุ่มแฮกเกอร์ ShinyHunters ได้ก่อกวนการให้บริการแก่สถาบันการศึกษาหลายพันแห่งทั่วโลก แม้ว่า Canvas จะได้รับการกู้คืนสำหรับผู้ใช้ส่วนใหญ่แล้ว แต่เหตุการณ์ละเมิดข้อมูลครั้งนี้ยังคงทิ้งคำถามที่ค้างคาไว้ว่า ข้อมูลนักศึกษาถูกเปิดเผยมากเพียงใด และจะเกิดอะไรขึ้นต่อไป?

เกิดอะไรขึ้นระหว่างที่ Canvas ล่ม

การโจมตีครั้งนี้มุ่งเป้าไปที่ Instructure บริษัทเจ้าของ Canvas ซึ่งเป็นหนึ่งในระบบจัดการการเรียนรู้ที่ถูกใช้งานอย่างแพร่หลายที่สุดในระดับอุดมศึกษาและโรงเรียน K-12 การหยุดชะงักเกิดขึ้นในช่วงสัปดาห์สอบปลายภาค ซึ่งเป็นช่วงเวลาที่ทำให้ความเสียหายทวีความรุนแรงขึ้นอย่างมาก สำนักงานเทคโนโลยีสารสนเทศของมหาวิทยาลัย Princeton ยืนยันว่าการหยุดชะงักดังกล่าวเชื่อมโยงกับเหตุการณ์ด้านความปลอดภัยที่กำลังดำเนินอยู่ที่ Instructure ส่งผลให้ทั้งแพลตฟอร์มเว็บและแอปพลิเคชันมือถือไม่สามารถเข้าถึงได้ในช่วงเวลาที่ยาวนานพอสมควร

ShinyHunters ไม่ใช่ชื่อที่แปลกหน้าในวงการความปลอดภัยไซเบอร์ กลุ่มนี้มีความเชื่อมโยงกับการละเมิดข้อมูลระดับสูงหลายครั้งในช่วงไม่กี่ปีที่ผ่านมา และการมีส่วนร่วมของพวกเขาในครั้งนี้บ่งชี้ว่านี่ไม่ใช่การโจมตีแบบสุ่มหรือฉวยโอกาส การละเมิดข้อมูลดังกล่าวอาจเปิดเผยชื่อ ที่อยู่อีเมล หมายเลขรหัสนักศึกษา และข้อความภายในของผู้ใช้งานจากสถาบันต่างๆ ทั่วโลก ขอบเขตทั้งหมดของข้อมูลที่ถูกบุกรุกยังอยู่ระหว่างการประเมิน

เหตุใดข้อมูลนักศึกษาจึงเป็นเป้าหมายที่มีคุณค่า

อาจดูน่าแปลกใจที่แพลตฟอร์มด้านการศึกษาจะดึงดูดผู้ไม่ประสงค์ดีที่มีความซับซ้อน แต่ข้อมูลนักศึกษาและสถาบันการศึกษามีมูลค่าทางการตลาดที่แท้จริง ที่อยู่อีเมลที่ผูกกับบัญชีมหาวิทยาลัยที่ได้รับการยืนยันมีประโยชน์สำหรับการโจมตีแบบฟิชชิง หมายเลขรหัสนักศึกษาสามารถนำไปรวมกับข้อมูลอื่นๆ เพื่อใช้ในการฉ้อโกงข้อมูลประจำตัว ข้อความภายในอาจมีข้อมูลส่วนตัวหรือข้อมูลทางวิชาการที่ละเอียดอ่อนซึ่งผู้ใช้ไม่คาดคิดว่าจะรั่วไหลออกจากแพลตฟอร์ม

สถาบันการศึกษามักมีทรัพยากรด้านความปลอดภัยไซเบอร์ไม่เพียงพอเมื่อเทียบกับภาคการเงินหรือภาคสุขภาพ ทำให้แพลตฟอร์มอย่าง Canvas กลายเป็นจุดเข้าที่น่าสนใจสำหรับผู้โจมตี เมื่อผู้ให้บริการรายเดียวให้บริการโรงเรียนหลายพันแห่ง การละเมิดข้อมูลที่ประสบความสำเร็จจะสร้างอิทธิพลอย่างมหาศาลให้กับผู้โจมตี ตัวอย่างเช่น บอตเน็ต สามารถใช้เพื่อขยายการโจมตีแบบ credential-stuffing ต่อแพลตฟอร์มที่มีฐานผู้ใช้ขนาดใหญ่และรวมศูนย์ ซึ่งเป็นกลวิธีที่พบเห็นบ่อยขึ้นในการบุกรุกขนาดใหญ่

เหตุการณ์ Canvas ยังแสดงให้เห็นว่าผู้ให้บริการซอฟต์แวร์บุคคลที่สามเป็นช่องโหว่ที่สำคัญสำหรับสถาบันต่างๆ แม้ว่าระบบของมหาวิทยาลัย Princeton เองจะปลอดภัย แต่ข้อมูลของมหาวิทยาลัยก็ได้รับการปกป้องเพียงเท่าที่ห่วงโซ่ผู้ให้บริการที่อ่อนแอที่สุดจะให้ได้เท่านั้น

สิ่งที่คุณควรทำ

หากคุณใช้ Canvas ที่สถาบันการศึกษาใดๆ คุณควรสันนิษฐานว่าข้อมูลบัญชีพื้นฐานของคุณอาจถูกเปิดเผยจนกว่า Instructure จะยืนยันเป็นอย่างอื่น ซึ่งหมายความว่าชื่อ อีเมลสถาบัน และรหัสนักศึกษาของคุณอาจกำลังหมุนเวียนอยู่ ข้อความภายในที่ส่งผ่าน Canvas ก็ถูกรายงานว่ามีความเสี่ยงเช่นกัน

นี่คือขั้นตอนที่เป็นรูปธรรมที่ควรดำเนินการทันที:

  • เปลี่ยนรหัสผ่าน Canvas ของคุณทันที และอย่านำรหัสผ่านเดิมไปใช้ซ้ำกับแพลตฟอร์มอื่น ใช้รหัสผ่านที่ไม่ซ้ำกันและรัดกุมสำหรับทุกบริการ
  • เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) ทุกที่ที่มีให้ใช้งานในบัญชีสถาบันของคุณ ซึ่งเพิ่มชั้นการป้องกันที่สำคัญแม้ว่าข้อมูลรับรองจะถูกบุกรุก
  • ระวังการโจมตีแบบฟิชชิง ที่มุ่งเป้าไปยังที่อยู่อีเมลมหาวิทยาลัยของคุณ ผู้โจมตีที่ได้รับที่อยู่อีเมลที่ได้รับการยืนยันอาจใช้ที่อยู่เหล่านั้นเพื่อสร้างการหลอกลวงติดตามผลที่น่าเชื่อถือโดยแอบอ้างเป็นมหาวิทยาลัยหรือ Instructure ของคุณ
  • ตรวจสอบบัญชีนักศึกษาของคุณ สำหรับกิจกรรมที่ผิดปกติ รวมถึงคำขอรีเซ็ตรหัสผ่านที่ไม่คาดคิดหรือการแจ้งเตือนการเข้าสู่ระบบที่ไม่คุ้นเคย
  • พิจารณาใช้นามแฝงอีเมลที่เน้นความเป็นส่วนตัว สำหรับการลงทะเบียนที่ไม่จำเป็นในอนาคต เพื่อที่อยู่สถาบันหลักของคุณจะไม่ถูกเปิดเผยในการละเมิดข้อมูลผู้ให้บริการในอนาคต

สำหรับนักศึกษาที่จัดการข้อมูลการวิจัย ข้อมูลทางคลินิก หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนผ่านแพลตฟอร์มของมหาวิทยาลัย เหตุการณ์นี้เป็นเครื่องเตือนใจว่าเครื่องมือของสถาบันไม่ได้รับประกันความปลอดภัยในระดับสถาบัน การคิดอย่างรอบคอบเกี่ยวกับสิ่งที่คุณแบ่งปันในแพลตฟอร์มบุคคลที่สามใดๆ แม้แต่แพลตฟอร์มที่ได้รับการรับรองจากโรงเรียนของคุณ เป็นนิสัยที่คุ้มค่าที่จะพัฒนา

ภาพรวมที่ใหญ่กว่าสำหรับความปลอดภัยไซเบอร์ของสถาบัน

การละเมิดข้อมูล Canvas เป็นส่วนหนึ่งของรูปแบบการโจมตีที่กว้างขึ้นต่อโครงสร้างพื้นฐานที่ผู้คนหลายล้านคนพึ่งพาในแต่ละวัน เมื่อแพลตฟอร์มเหล่านี้ล่มหรือถูกบุกรุก ผลที่ตามมาไม่ใช่เรื่องนามธรรม นักศึกษาพลาดกำหนดเวลา นักการศึกษาสูญเสียการเข้าถึงเกรด และข้อมูลส่วนบุคคลถูกเผยแพร่หมุนเวียนโดยไม่ได้รับความยินยอม การหยุดชะงักที่ Princeton ที่เกิดขึ้นพร้อมกับการสอบปลายภาคแสดงให้เห็นว่าการโจมตีทางไซเบอร์สามารถสร้างความเสียหายในโลกแห่งความเป็นจริงได้ไกลเกินกว่าด้านเทคนิค

สำหรับสถาบันการศึกษา เหตุการณ์นี้ตอกย้ำความจำเป็นในการกดดันผู้ให้บริการเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยของพวกเขาก่อนที่จะมีการลงนามสัญญา ไม่ใช่หลังจากเกิดการละเมิดข้อมูล การบริหารความเสี่ยงของผู้ให้บริการ นโยบายการลดข้อมูลให้น้อยที่สุด และการวางแผนการตอบสนองต่อเหตุการณ์ไม่ใช่พิธีการทางราชการ แต่เป็นความแตกต่างระหว่างการหยุดชะงักที่จัดการได้กับวิกฤตที่เกิดขึ้นในช่วงสัปดาห์สอบปลายภาค

สำหรับนักศึกษาและนักการศึกษา บทเรียนที่ได้รับนั้นชัดเจน ปฏิบัติต่อข้อมูลรับรองการเข้าสู่ระบบสถาบันของคุณด้วยความจริงจังเช่นเดียวกับรหัสผ่านธนาคารของคุณ ระวังการฟิชชิงติดตามผล และใช้ประโยชน์จากทุกคุณลักษณะด้านความปลอดภัยที่บัญชีของคุณมีให้ การละเมิดข้อมูลในระดับผู้ให้บริการส่วนใหญ่อยู่นอกเหนือการควบคุมของคุณ แต่วิธีที่คุณตอบสนองต่อการละเมิดข้อมูลเหล่านั้นไม่ใช่