การรั่วไหลของข้อมูล

ShinyHunters อ้างขโมยข้อมูล 275 ล้านรายการจากการละเมิดข้อมูลของ Instructure

4 พฤษภาคม 2569อ่าน 5 นาที

By เจมส์ โอคาฟอร์ — ได้รับการรับรอง CIPP/E ผู้เชี่ยวชาญด้านสิทธิดิจิทัลและกฎหมายความเป็นส่วนตัว

ShinyHunters อ้างขโมยข้อมูล 275 ล้านรายการจากการละเมิดข้อมูลของ Instructure

ShinyHunters อ้างว่าขโมยข้อมูล 275 ล้านรายการจากบริษัทเทคโนโลยีการศึกษายักษ์ใหญ่ Instructure

บริษัทเทคโนโลยีการศึกษา Instructure ยืนยันการละเมิดข้อมูลหลังจากกลุ่มแฮกเกอร์ชื่อดัง ShinyHunters ขู่จะเปิดเผยข้อมูลที่อ้างว่าขโมยมาจากสถาบันการศึกษาเกือบ 9,000 แห่ง กลุ่มดังกล่าวอ้างว่าได้รับข้อมูลของนักเรียน ครู และบุคคลอื่น ๆ รวม 275 ล้านรายการ ซึ่งหากได้รับการยืนยัน นี่อาจเป็นหนึ่งในการละเมิดข้อมูลครั้งใหญ่ที่สุดในภาคการศึกษาที่เคยมีการรายงาน

Instructure ซึ่งเป็นที่รู้จักกันดีในฐานะผู้พัฒนาระบบจัดการการเรียนรู้ Canvas ที่ใช้กันอย่างแพร่หลาย ยังไม่ได้ยืนยันต่อสาธารณะถึงขอบเขตทั้งหมดของข้อมูลที่ถูกเข้าถึง บริษัทเปิดเผยเหตุการณ์ดังกล่าวภายใต้แรงกดดันจากการข่มขู่กรรโชกของ ShinyHunters ซึ่งเป็นกลุ่มที่มีประวัติยาวนานในการขโมยข้อมูลขนาดใหญ่และขู่เปิดเผยข้อมูลต่อสาธารณะเพื่อบังคับให้องค์กรต่าง ๆ จ่ายค่าไถ่

ShinyHunters คือใคร และทำไมคุณควรใส่ใจ

ShinyHunters ไม่ใช่ชื่อที่ไม่คุ้นเคยในวงการความปลอดภัยทางไซเบอร์ กลุ่มนี้เชื่อมโยงกับการละเมิดข้อมูลระดับสูงหลายสิบครั้งในช่วงหลายปีที่ผ่านมา โดยมุ่งเป้าไปที่บริษัทในภาคค้าปลีก การเงิน การดูแลสุขภาพ และเทคโนโลยี แนวทางปกติของพวกเขาคือการขโมยข้อมูลผู้ใช้จำนวนมาก จากนั้นขู่ว่าจะเผยแพร่บนฟอรัมดาร์กเว็บ หากองค์กรเหยื่อไม่ยอมจ่ายเงิน

สิ่งที่ทำให้เหตุการณ์นี้โดดเด่นเป็นพิเศษคือขนาดมหึมาของการขโมยที่อ้างและความละเอียดอ่อนของกลุ่มผู้ได้รับผลกระทบ นักเรียนซึ่งหลายคนเป็นผู้เยาว์ถือเป็นกลุ่มที่เปราะบางเป็นพิเศษ ข้อมูลทางการศึกษาอาจประกอบด้วยชื่อ อีเมล รหัสสถาบัน และในบางกรณีอาจมีข้อมูลที่ละเอียดอ่อนกว่าซึ่งเชื่อมโยงกับระบบวิชาการหรือระบบบริหารงาน ข้อมูลประเภทนี้อาจถูกนำไปใช้ในการโจมตีแบบฟิชชิง การฉ้อโกงตัวตน และการโจมตีทางวิศวกรรมสังคม ซึ่งอาจไม่ปรากฏให้เห็นเป็นเวลาหลายเดือนหรือหลายปีหลังจากการละเมิดครั้งแรก

การที่มีสถาบันเกือบ 9,000 แห่งได้รับผลกระทบยังหมายความว่าการเปิดเผยข้อมูลนี้กระจายออกไปในวงกว้างทั้งในเชิงภูมิศาสตร์และเชิงองค์กร ครอบคลุมโรงเรียน K-12 วิทยาลัย มหาวิทยาลัย และอาจรวมถึงโปรแกรมฝึกอบรมขององค์กรที่ใช้ Canvas ด้วย

ความหมายของเหตุการณ์นี้สำหรับคุณ

หากคุณหรือบุตรหลานของคุณศึกษาอยู่ในโรงเรียน วิทยาลัย หรือมหาวิทยาลัยที่ใช้แพลตฟอร์ม Canvas ของ Instructure ข้อมูลของคุณอาจมีส่วนเกี่ยวข้อง ในขั้นตอนนี้ควรดำเนินมาตรการป้องกันหลายประการ ไม่ว่าคุณจะได้รับการแจ้งเตือนอย่างเป็นทางการหรือไม่ก็ตาม

ประการแรก จงระวังการโจมตีแบบฟิชชิง ผู้โจมตีที่ได้รับที่อยู่อีเมลจากฐานข้อมูลที่ถูกละเมิดมักส่งอีเมลแบบเจาะจงเป้าหมายที่ออกแบบให้ดูเหมือนการสื่อสารอย่างเป็นทางการจากโรงเรียน สำนักงานให้ทุนการศึกษา หรือผู้ให้บริการเทคโนโลยี อีเมลที่ไม่คาดคิดใด ๆ ที่ขอให้คุณคลิกลิงก์ ยืนยันข้อมูลประจำตัว หรืออัปเดตข้อมูลการชำระเงิน ควรได้รับการพิจารณาด้วยความระมัดระวัง

ประการที่สอง พิจารณาใช้รหัสผ่านที่ไม่ซ้ำกันและรัดกุมสำหรับบัญชีใด ๆ ที่เชื่อมโยงกับสถาบันการศึกษาของคุณ ตัวจัดการรหัสผ่านช่วยให้จัดการการเข้าสู่ระบบหลายรายการได้ง่ายขึ้น หากบัญชีโรงเรียนของคุณใช้รหัสผ่านร่วมกับบริการอื่น ให้เปลี่ยนรหัสผ่านเหล่านั้นทันที

ประการที่สาม ผู้ปกครองของนักเรียนผู้เยาว์ควรให้ความสนใจเป็นพิเศษ ข้อมูลของเด็กมีคุณค่าสูงสำหรับมิจฉาชีพเป็นพิเศษ เนื่องจากมักไม่มีการติดตามตรวจสอบเป็นเวลาหลายปี ทำให้อาชญากรมีช่วงเวลายาวนานในการใช้ข้อมูลในทางที่ผิดก่อนที่ใครจะสังเกตเห็น

สำหรับผู้ดูแลระบบ IT และทีมความปลอดภัยในสถาบันการศึกษา การละเมิดครั้งนี้เป็นการเตือนให้ตรวจสอบสิทธิ์การเข้าถึงของผู้ให้บริการบุคคลที่สาม องค์กรที่พึ่งพาแพลตฟอร์มอย่าง Canvas มักให้สิทธิ์เข้าถึงระบบข้อมูลนักศึกษาอย่างมีนัยสำคัญแก่แพลตฟอร์มเหล่านั้น การทบทวนว่าข้อมูลใดถูกแบ่งปัน จัดเก็บอย่างไร และผู้ให้บริการมีพันธะผูกพันด้านความปลอดภัยตามสัญญาอย่างไรนั้นไม่ใช่งานทางเลือก แต่เป็นการบริหารความเสี่ยงที่จำเป็น

ปัญหาที่กว้างขึ้นเกี่ยวกับความปลอดภัยในภาคการศึกษา

ภาคการศึกษาติดอันดับหนึ่งในภาคส่วนที่ถูกโจมตีมากที่สุดอย่างสม่ำเสมอในรายงานการละเมิดข้อมูล แต่ก็มักเป็นหนึ่งในภาคส่วนที่มีทรัพยากรน้อยที่สุดในด้านงบประมาณและบุคลากรด้านความปลอดภัยทางไซเบอร์ โรงเรียนและมหาวิทยาลัยจัดการข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้จำนวนมหาศาล ขณะที่มักดำเนินงานด้วยโครงสร้างพื้นฐานแบบเดิม บุคลากร IT ที่จำกัด และข้อจำกัดทางการเงิน

การละเมิดข้อมูลของ Instructure แสดงให้เห็นถึงความเสี่ยงที่ทวีคูณซึ่งเกิดจากการรวมศูนย์ข้อมูลของสถาบันนับพันแห่งผ่านแพลตฟอร์มเดียว เมื่อแพลตฟอร์มนั้นกลายเป็นเป้าหมาย ขอบเขตความเสียหายจะกว้างใหญ่มาก การละเมิดที่อาจส่งผลกระทบต่อสถาบันเดียวในกรณีแยกต่างหาก กลับส่งผลกระทบต่อเกือบ 9,000 แห่งในคราวเดียว

นี่ไม่ใช่ข้อโต้แย้งต่อแพลตฟอร์มเทคโนโลยีการศึกษาบนคลาวด์ซึ่งมอบคุณค่าที่แท้จริง แต่เป็นข้อโต้แย้งที่ว่าควรยึดมั่นให้แพลตฟอร์มเหล่านั้นปฏิบัติตามมาตรฐานความปลอดภัยสูงสุด และให้สถาบันต่าง ๆ ใช้ความปลอดภัยแบบหลายชั้น รวมถึงการบังคับใช้การยืนยันตัวตนหลายปัจจัย การลดการแบ่งปันข้อมูลที่ไม่จำเป็น และการรักษาแผนตอบสนองต่อเหตุการณ์ที่ชัดเจน

สิ่งที่ควรดำเนินการ

ติดตามบัญชีของคุณ สังเกตกิจกรรมการเข้าสู่ระบบที่ผิดปกติบนบัญชีใด ๆ ที่เชื่อมโยงกับโรงเรียนหรือมหาวิทยาลัยของคุณ
อัปเดตรหัสผ่าน เปลี่ยนข้อมูลประจำตัวสำหรับบัญชี Canvas ของคุณและบริการอื่น ๆ ที่ใช้รหัสผ่านเดียวกัน
เปิดใช้งานการยืนยันตัวตนหลายปัจจัย บนบัญชีการศึกษาของคุณหากมีให้บริการ
ระวังการฟิชชิง ควรระมัดระวังอีเมลที่ไม่ได้ร้องขอซึ่งอ้างว่ามาจากสถาบันของคุณหรือจาก Instructure โดยตรง
ผู้ปกครอง: ตรวจสอบรอยเท้าดิจิทัลของบุตรหลาน พิจารณาการระงับเครดิตสำหรับหมายเลขประกันสังคมของบุตรหลานผู้เยาว์หากคุณอยู่ในสหรัฐอเมริกา เนื่องจากข้อมูลนักเรียนที่ถูกขโมยสามารถถูกนำไปใช้ในทางที่ผิดได้เป็นเวลาหลายปี
สถาบัน: ตรวจสอบสิทธิ์การเข้าถึงของผู้ให้บริการ ทบทวนข้อมูลที่แพลตฟอร์มเทคโนโลยีการศึกษาบุคคลที่สามสามารถเข้าถึงได้ และตรวจสอบให้แน่ใจว่าสัญญาระบุข้อกำหนดด้านความปลอดภัยและการแจ้งเตือนการละเมิดอย่างชัดเจน

ขอบเขตเต็มรูปแบบของการละเมิดข้อมูล Instructure ยังอยู่ระหว่างการเปิดเผย เมื่อมีรายละเอียดเพิ่มเติม บุคคลและสถาบันที่ได้รับผลกระทบควรติดตามคำแนะนำอย่างเป็นทางการจาก Instructure และคงความตื่นตัวอยู่เสมอ การละเมิดในระดับนี้ต้องใช้เวลาในการทำความเข้าใจอย่างครบถ้วน แต่ขั้นตอนข้างต้นสามารถช่วยลดความเสี่ยงของคุณได้ตั้งแต่วันนี้

// คำถามที่พบบ่อย

บริษัทใดถูกละเมิดข้อมูลและเป็นที่รู้จักในด้านใด

Instructure บริษัทที่อยู่เบื้องหลังระบบจัดการการเรียนรู้ Canvas ที่ใช้กันอย่างแพร่หลาย ยืนยันการละเมิดดังกล่าว บริษัทให้บริการสถาบันการศึกษาต่าง ๆ รวมถึงโรงเรียน K-12 วิทยาลัย มหาวิทยาลัย และโปรแกรมฝึกอบรมขององค์กร

ShinyHunters อ้างว่าขโมยข้อมูลไปกี่รายการ

ShinyHunters อ้างว่าขโมยข้อมูล 275 ล้านรายการที่เป็นของนักเรียน ครู และบุคคลอื่น ๆ จากสถาบันการศึกษาเกือบ 9,000 แห่ง

ShinyHunters คือใคร

ShinyHunters เป็นกลุ่มแฮกเกอร์ที่มีประวัติยาวนานในการขโมยข้อมูลขนาดใหญ่ โดยมุ่งเป้าไปที่บริษัทในภาคค้าปลีก การเงิน การดูแลสุขภาพ และเทคโนโลยี แนวทางปกติของพวกเขาคือการขโมยข้อมูลและขู่ว่าจะเผยแพร่หากเหยื่อไม่ยอมจ่ายค่าไถ่

ข้อมูลส่วนบุคคลประเภทใดบ้างที่อาจถูกเปิดเผยในการละเมิดครั้งนี้

ข้อมูลทางการศึกษาที่เกี่ยวข้องกับการละเมิดอาจรวมถึงชื่อ ที่อยู่อีเมล รหัสสถาบัน และข้อมูลที่ละเอียดอ่อนกว่าซึ่งเชื่อมโยงกับระบบวิชาการหรือระบบบริหารงาน ข้อมูลเหล่านี้อาจถูกนำไปใช้ในการโจมตีแบบฟิชชิง การฉ้อโกงตัวตน และการโจมตีทางวิศวกรรมสังคม

ผู้ใช้ Canvas ควรดำเนินการใดบ้าง

ผู้ใช้ควรระวังอีเมลฟิชชิงที่ออกแบบให้ดูเหมือนการสื่อสารอย่างเป็นทางการจากโรงเรียนหรือสำนักงานให้ทุนการศึกษา นอกจากนี้ควรใช้รหัสผ่านที่ไม่ซ้ำกันและรัดกุมสำหรับบัญชีการศึกษา โดยควรจัดการผ่านตัวจัดการรหัสผ่าน