ข้อมูลใดบ้างที่ถูกเปิดเผยจากการละเมิดข้อมูล Instructure และใครได้รับผลกระทบ

Instructure บริษัทผู้พัฒนา Canvas ซึ่งเป็นหนึ่งในระบบจัดการการเรียนรู้ที่ได้รับความนิยมสูงสุดในระดับอุดมศึกษา ได้ยืนยันการละเมิดข้อมูลที่ส่งผลกระทบต่อนักศึกษาและนักการศึกษาหลายล้านคนทั่วสถาบันการศึกษาหลายพันแห่ง การละเมิดข้อมูล Instructure Canvas ครั้งนี้ได้เปิดเผยข้อมูลผู้ใช้ที่ละเอียดอ่อนหลายประเภท ทั้งชื่อ ที่อยู่อีเมล รหัสนักศึกษา และการสื่อสารส่วนตัวของผู้ใช้

ขนาดของเหตุการณ์นี้มีนัยสำคัญอย่างมาก จากข้อมูลที่ผู้ก่อภัยคุกคามที่เกี่ยวข้องอ้างว่า การละเมิดนี้อาจส่งผลกระทบต่อผู้ใช้ในสถาบันการศึกษาเกือบ 9,000 แห่ง เพื่อให้เห็นบริบทที่ชัดเจนขึ้น Canvas ถูกใช้งานโดยมหาวิทยาลัย วิทยาลัย และโรงเรียนระดับ K-12 ทั่วโลก ซึ่งหมายความว่ากลุ่มผู้ที่อาจได้รับผลกระทบครอบคลุมประชากรในวงกว้างและมีความเปราะบาง นักศึกษาจำนวนมากที่เป็นผู้ใหญ่วัยหนุ่มสาวซึ่งใช้บัญชีของสถาบันเป็นครั้งแรก อาจไม่ตระหนักทันทีว่าข้อมูลประจำตัวสำหรับเข้าสู่ระบบของโรงเรียนควรได้รับการปกป้องในระดับเดียวกับรหัสผ่านธนาคาร

เพื่อให้เห็นภาพรวมที่ครบถ้วนยิ่งขึ้นว่าข้อมูลอาจตกอยู่ในความเสี่ยงมากเพียงใด ShinyHunters อ้างว่าได้รับข้อมูล 275 ล้านรายการจากการละเมิดข้อมูล Instructure ซึ่งเป็นตัวเลขที่สะท้อนถึงขอบเขตอันไม่เคยปรากฏมาก่อนของเหตุการณ์นี้

ShinyHunters เข้าถึงข้อมูลผู้ใช้ Canvas ได้อย่างไร

ความรับผิดชอบต่อการโจมตีครั้งนี้ถูกอ้างสิทธิ์โดย ShinyHunters ซึ่งเป็นกลุ่มกรรโชกที่มีประวัติอันเป็นที่จดจำในแคมเปญขโมยข้อมูลระดับสูง กลุ่มนี้เคยโจมตีแพลตฟอร์มรายใหญ่มาก่อน และได้แสดงให้เห็นถึงความสามารถในการขโมยชุดข้อมูลขนาดมหึมาจากสภาพแวดล้อมองค์กร

แม้ว่า Instructure จะยังไม่ได้เปิดเผยรายละเอียดช่องทางการโจมตีที่แน่ชัดที่ใช้ในการเข้าถึงโดยไม่ได้รับอนุญาต แต่โดยทั่วไป ShinyHunters มักใช้ประโยชน์จากช่องโหว่ในการกำหนดค่าพื้นที่เก็บข้อมูลบนคลาวด์ การผสานรวมกับบุคคลที่สาม หรือ API endpoint แพลตฟอร์มเทคโนโลยีการศึกษามักพึ่งพาเครือข่ายที่ซับซ้อนของเครื่องมือและการผสานรวมกับบุคคลที่สาม ซึ่งอาจสร้างช่องว่างด้านความปลอดภัยที่ยากต่อการติดตามอย่างครอบคลุม

การยืนยันการเข้าถึงการสื่อสารของผู้ใช้โดยไม่ได้รับอนุญาตเป็นเรื่องที่น่ากังวลเป็นพิเศษ ต่างจากฟิลด์ข้อมูลแบบคงที่ เช่น ชื่อหรือที่อยู่อีเมล การสื่อสารอาจมีเนื้อหาทางวิชาการที่ละเอียดอ่อน การเปิดเผยข้อมูลส่วนตัว และข้อมูลที่แบ่งปันภายใต้ความคาดหวังความเป็นส่วนตัวระหว่างนักศึกษาและอาจารย์

เหตุใด Wi-Fi ในมหาวิทยาลัยและการรับส่งข้อมูลที่ไม่ได้เข้ารหัสจึงขยายความเสี่ยง

การละเมิดข้อมูล Instructure Canvas ไม่ได้เกิดขึ้นโดยโดดเดี่ยว แต่เป็นการเน้นย้ำถึงช่องโหว่ที่กว้างกว่านั้น ซึ่งนักศึกษาและนักการศึกษาต้องเผชิญในชีวิตประจำวัน นั่นคือการใช้การเชื่อมต่อเครือข่ายที่ไม่ได้เข้ารหัสหรือมีความปลอดภัยต่ำในมหาวิทยาลัย

เครือข่าย Wi-Fi ในมหาวิทยาลัยเป็นสภาพแวดล้อมที่ใช้ร่วมกันโดยธรรมชาติ ผู้ใช้หลายร้อยหรือหลายพันคนเชื่อมต่อผ่านโครงสร้างพื้นฐานเดียวกัน และหากไม่มีการเข้ารหัสที่เหมาะสมในระดับแอปพลิเคชันหรือเครือข่าย ข้อมูลที่ส่งผ่านการเชื่อมต่อเหล่านั้นอาจถูกดักจับได้ เมื่อข้อมูลประจำตัวถูกโจมตีในการละเมิดเช่นนี้ ผู้โจมตีมักพยายามนำไปใช้กับแพลตฟอร์มอื่น ๆ ซึ่งเป็นเทคนิคที่เรียกว่า credential stuffing นักศึกษาที่มีชื่อผู้ใช้และรหัสผ่าน Canvas อยู่ในฐานข้อมูลของผู้ก่อภัยคุกคามแล้ว ไม่ได้ตกอยู่ในความเสี่ยงเพียงแค่บน Canvas เท่านั้น แต่ยังรวมถึงบริการอื่น ๆ ที่พวกเขาใช้ข้อมูลชุดเดิมด้วย

การเข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตผ่าน VPN บนเครือข่ายในมหาวิทยาลัยและเครือข่ายสาธารณะ เพิ่มชั้นการป้องกันที่มาตรการรักษาความปลอดภัยของสถาบันเพียงอย่างเดียวไม่สามารถรับประกันได้ มันป้องกันการดักจับในระดับเครือข่ายท้องถิ่น และทำให้ผู้โจมตีที่มุ่งหาโอกาสโจมตีทำได้ยากขึ้นมากในการรวบรวมข้อมูลประจำตัวหรือข้อมูล session ระหว่างการส่งผ่าน

ขั้นตอนปฏิบัติที่นักศึกษาและสถาบันสามารถดำเนินการได้ทันที

หากคุณเป็นนักศึกษาหรือนักการศึกษาที่ใช้ Canvas มีการดำเนินการที่เป็นรูปธรรมที่ควรทำทันที

เปลี่ยนรหัสผ่าน Canvas ของคุณตอนนี้เลย แม้ว่า Instructure จะยังไม่ได้ยืนยันว่าบัญชีเฉพาะของคุณถูกเข้าถึง ให้ปฏิบัติต่อข้อมูลประจำตัวของคุณราวกับถูกโจมตีแล้ว ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกับที่อื่น

เปิดใช้งานการยืนยันตัวตนหลายปัจจัยทุกที่ที่ทำได้ สถาบันหลายแห่งเสนอ MFA สำหรับระบบจัดการการเรียนรู้และบัญชีอีเมล หากสถาบันของคุณมี ให้เปิดใช้งาน ขั้นตอนเดียวนี้สามารถป้องกันการยึดครองบัญชีได้แม้ว่ารหัสผ่านจะรู้อยู่กับผู้โจมตีแล้ว

ตรวจสอบว่าคุณใช้ข้อมูลประจำตัวซ้ำที่ไหนบ้าง หากการรวมกันของอีเมลและรหัสผ่าน Canvas ของคุณปรากฏบนบริการอื่น ให้เปลี่ยนรหัสผ่านเหล่านั้นทันที ผู้จัดการรหัสผ่านสามารถช่วยสร้างและจัดเก็บข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับทุกบัญชี

ใช้ VPN บนเครือข่ายมหาวิทยาลัยและเครือข่ายสาธารณะ VPN ที่มีชื่อเสียงจะเข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตของคุณ ทำให้ใครก็ตามที่ตรวจสอบเครือข่ายท้องถิ่นดักจับข้อมูลของคุณได้ยากขึ้นมาก ซึ่งมีความเกี่ยวข้องเป็นพิเศษบนเครือข่าย Wi-Fi แบบเปิดในมหาวิทยาลัย การเชื่อมต่อในร้านกาแฟ และสภาพแวดล้อมที่ใช้ร่วมกันใด ๆ นักศึกษาที่กำลังมองหาตัวเลือกที่เหมาะกับรูปแบบการใช้งานและงบประมาณของตน ควรศึกษาหา VPN ที่มีโปรโตคอลการเข้ารหัสที่แข็งแกร่งและนโยบายไม่เก็บบันทึกข้อมูล

ระวังความพยายามในการฟิชชิง การละเมิดข้อมูลในลักษณะนี้มักตามมาด้วยแคมเปญฟิชชิงที่มีเป้าหมายเฉพาะ ผู้โจมตีที่ตอนนี้มีชื่อ ที่อยู่อีเมล และสังกัดสถาบันของคุณ สามารถสร้างข้อความที่น่าเชื่อถือโดยแอบอ้างเป็นมหาวิทยาลัยหรือ Canvas ของคุณได้ จงระมัดระวังต่ออีเมลที่ไม่ได้ร้องขอซึ่งขอให้คุณยืนยันบัญชีหรือคลิกลิงก์

สำหรับสถาบันการศึกษา การละเมิดนี้เป็นสัญญาณชัดเจนให้ทบทวนข้อกำหนดความปลอดภัยของผู้ขายบุคคลที่สาม เพิ่มความเข้มงวดในการควบคุมการเข้าถึง API และลงทุนในโครงสร้างพื้นฐานการแจ้งเตือนการละเมิด เพื่อให้ผู้ใช้ที่ได้รับผลกระทบได้รับข้อมูลที่ทันเวลาและนำไปปฏิบัติได้

การละเมิดข้อมูล Instructure Canvas เป็นเครื่องเตือนใจว่าแพลตฟอร์มการศึกษาเก็บข้อมูลส่วนตัวที่ลึกซึ้งและสมควรได้รับการตรวจสอบความปลอดภัยอย่างเข้มงวดเท่าเทียมกับระบบการเงินหรือระบบสุขภาพ นักศึกษาและนักการศึกษาไม่ควรรอให้สถาบันดำเนินการ การทบทวนนิสัยดิจิทัลของตัวเอง โดยเริ่มจากรหัสผ่านและการเชื่อมต่อเครือข่ายของคุณ คือขั้นตอนที่เป็นรูปธรรมที่สุดที่คุณสามารถดำเนินการได้ทันทีเพื่อลดความเสี่ยงของคุณในตอนนี้