Hangi şirket ihlale uğradı ve ne ile bilinir?

Canvas öğrenme yönetim sisteminin arkasındaki şirket olan Instructure, ihlali doğruladı. Şirket; K-12 okulları, kolejler, üniversiteler ve kurumsal eğitim programları dahil olmak üzere eğitim kurumlarına hizmet vermektedir.

ShinyHunters kaç kayıt çaldığını iddia ediyor?

ShinyHunters, neredeyse 9.000 eğitim kurumundaki öğrenci, öğretmen ve diğer bireylere ait 275 milyon kaydı çaldığını iddia ediyor.

ShinyHunters, perakende, finans, sağlık ve teknoloji sektörlerindeki şirketleri hedef alarak büyük ölçekli veri hırsızlığı konusunda köklü bir geçmişe sahip bir hacker grubudur. Tipik yaklaşımları, veri çalmak ve kurban fidye ödemezse bu verileri yayınlamakla tehdit etmektir.

Canvas kullananlar hangi adımları atmalıdır?

Kullanıcılar, okul veya burs ofislerinden gelen resmi iletişimler gibi görünmek üzere tasarlanmış kimlik avı e-postalarına karşı dikkatli olmalıdır. Ayrıca eğitim hesapları için benzersiz ve güçlü parolalar kullanmalı; bunu tercihan bir parola yöneticisi aracılığıyla yönetmelidirler.

ShinyHunters, Instructure İhlalinde 275 Milyon Kayıt Çaldığını İddia Ediyor

Q: Bu ihlalde ne tür kişisel bilgiler açığa çıkmış olabilir?

İhlale karışan eğitim kayıtları; isimler, e-posta adresleri, kurumsal kimlikler ve akademik ya da idari sistemlere bağlı daha hassas bilgileri kapsayabilir. Bu veriler kimlik avı, kimlik dolandırıcılığı ve sosyal mühendislik saldırılarında kullanılabilir.

ShinyHunters, Edtech Devi Instructure'dan 275 Milyon Kayıt Çaldığını İddia Ediyor

Eğitim teknolojisi şirketi Instructure, kötü şöhretiyle tanınan ShinyHunters hacker grubunun neredeyse 9.000 eğitim kurumundan çaldığını iddia ettiği verileri sızdırmakla tehdit etmesinin ardından bir veri ihlalini doğruladı. Grup, 275 milyon öğrenci, öğretmen ve diğer bireylere ait kayıtları ele geçirdiğini öne sürüyor; iddialar doğrulanırsa bu durum, eğitim sektöründe şimdiye kadar raporlanan en büyük ihlallerden biri olacak.

Yaygın biçimde kullanılan Canvas öğrenme yönetim sistemiyle tanınan Instructure, erişilen verilerin tam kapsamını henüz kamuoyu ile paylaşmadı. Şirket, fidye ödemeye zorlamak amacıyla kuruluşları büyük ölçekli veri hırsızlığına maruz bırakma ve kamuya sızdırma tehdidiyle tanınan ShinyHunters'ın gasp baskısı altında olayı açıkladı.

ShinyHunters Kim ve Neden Önemsemeliyiz

ShinyHunters, siber güvenlik çevrelerinde yeni bir isim değil. Grup, son birkaç yıl içinde perakende, finans, sağlık ve teknoloji sektörlerindeki şirketleri hedef alarak düzinelerce yüksek profilli ihlalle ilişkilendirildi. Tipik yaklaşımları, büyük miktarda kullanıcı verisini dışarı sızdırmak ve ardından kurban kuruluş ödeme yapmazsa bu verileri karanlık web forumlarında yayınlamakla tehdit etmek üzerine kurulu.

Bu olayı özellikle dikkat çekici kılan şey, iddia edilen hırsızlığın muazzam boyutu ve etkilenen kitlenin hassasiyetidir. Önemli bir kısmı reşit olmayan bireylerden oluşan öğrenciler, benzersiz biçimde savunmasız bir grubu temsil ediyor. Eğitim kayıtları; isimler, e-posta adresleri, kurumsal kimlikler ve bazı durumlarda akademik ya da idari sistemlere bağlı daha hassas bilgileri kapsayabilir. Bu nitelikteki veriler, ilk ihlalden aylar veya yıllar sonra bile gün yüzüne çıkabilecek kimlik avı kampanyaları, kimlik dolandırıcılığı ve sosyal mühendislik saldırılarında kullanılabilir.

Neredeyse 9.000 kurumun dahil olması, maruziyetin coğrafi ve kurumsal açıdan geniş bir alana yayıldığı anlamına geliyor; Canvas kullanan K-12 okulları, kolejler, üniversiteler ve potansiyel olarak kurumsal eğitim programları bu kapsamda yer alıyor.

Bu Sizin İçin Ne Anlama Geliyor

Siz veya çocuklarınız Instructure'ın Canvas platformunu kullanan bir okul, kolej ya da üniversiteye devam ediyorsanız verileriniz bu ihlalden etkilenmiş olabilir. Resmi bir bildirim alıp almadığınızdan bağımsız olarak bu aşamada bazı önleyici adımlar atmak yerinde olacaktır.

Öncelikle kimlik avı girişimlerine karşı dikkatli olun. İhlal edilmiş veri tabanlarından e-posta adreslerini ele geçiren saldırganlar, çoğunlukla okul, burs ofisi veya teknoloji sağlayıcılarından gelen resmi iletişimler gibi görünen hedefli e-postalar gönderir. Bir bağlantıya tıklamanızı, kimlik bilgilerinizi doğrulamanızı ya da ödeme bilgilerinizi güncellemenizi isteyen beklenmedik her e-postaya şüpheyle yaklaşın.

İkinci olarak, eğitim kurumunuzla ilişkili tüm hesaplar için benzersiz ve güçlü parolalar kullanmayı düşünün. Bir parola yöneticisi, birden fazla giriş bilgisini yönetmeyi kolaylaştırır. Okul hesabınız başka hizmetlerle aynı parolayı paylaşıyorsa bu parolaları şimdi değiştirin.

Üçüncü olarak, reşit olmayan öğrencilerin ebeveynleri özellikle dikkatli olmalıdır. Çocuklara ait veriler, yıllarca izlenmeden kaldığından dolandırıcılar açısından özellikle değerlidir; bu durum suçlulara, kötüye kullanımın fark edilmesinden önce uzun bir zaman penceresi tanır.

Eğitim kurumlarındaki BT yöneticileri ve güvenlik ekipleri için bu ihlal, üçüncü taraf satıcı erişiminin denetlenmesi gerektiğini bir kez daha hatırlatıyor. Canvas gibi platformlara dayanan kuruluşlar, çoğunlukla bu platformlara öğrenci bilgi sistemlerine geniş erişim yetkisi tanır. Hangi verilerin paylaşıldığını, nasıl depolandığını ve satıcıların hangi sözleşmesel güvenlik yükümlülüklerine tabi olduğunu gözden geçirmek isteğe bağlı bir iş değildir; zorunlu bir risk yönetimi çalışmasıdır.

Eğitim Sektöründeki Güvenlik Sorunlarının Daha Geniş Boyutu

Eğitim, veri ihlali raporlarında sürekli olarak en çok hedef alınan sektörler arasında yer alırken siber güvenlik bütçeleri ve personeli açısından da en az kaynak ayrılan sektörler arasında olmaya devam ediyor. Okullar ve üniversiteler, eski altyapılarla, sınırlı BT kadrosuyla ve dar finansal imkânlarla çalışırken büyük miktarda kişisel tanımlayıcı bilgiyi yönetmek zorunda kalıyor.

Instructure ihlali, binlerce kurumun verilerini tek bir platform üzerinde merkezileştirmenin yarattığı katmanlı riski gözler önüne seriyor. O platform bir saldırının hedefi haline geldiğinde hasarın boyutu muazzam bir hal alıyor. Tek bir kurumu etkiliyor olabilecek bir ihlal, bunun yerine neredeyse 9.000 kurumu aynı anda etkiliyor.

Bu, gerçek değer sunan bulut tabanlı edtech platformlarına karşı bir argüman değildir. Bu platformların en yüksek güvenlik standartlarına tabi tutulması ve kurumların çok faktörlü kimlik doğrulamayı zorunlu kılmak, gereksiz veri paylaşımını en aza indirmek ve net olay müdahale planları oluşturmak dahil olmak üzere katmanlı güvenlik uygulaması için bir argümandır.

Uygulanabilir Çıkarımlar

Hesaplarınızı izleyin. Okul veya üniversitenize bağlı hesaplarda olağandışı giriş etkinliklerini takip edin.
Parolaları güncelleyin. Canvas hesabınız ve aynı parolayı kullanan diğer hizmetler için kimlik bilgilerinizi değiştirin.
Eğitim hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirin, eğer bu seçenek mevcutsa.
Kimlik avına dikkat edin. Kurumunuzdan veya doğrudan Instructure'dan geldiğini iddia eden istenmeyen e-postalara karşı temkinli olun.
Ebeveynler: çocuğunuzun dijital ayak izini kontrol edin. ABD'deyseniz, çalınan öğrenci verilerinin yıllarca kötüye kullanılabileceğini göz önünde bulundurarak reşit olmayan çocuğunuzun Sosyal Güvenlik numarasına kredi dondurma işlemi uygulamayı düşünün.
Kurumlar: satıcı erişimini denetleyin. Üçüncü taraf edtech platformlarının hangi verilere erişebildiğini gözden geçirin ve sözleşmelerin açık güvenlik ile ihlal bildirimi gerekliliklerini içerdiğinden emin olun.

Instructure veri ihlalinin tam kapsamı hâlâ netlik kazanmaya devam ediyor. Daha fazla ayrıntı ortaya çıktıkça etkilenen bireyler ve kurumlar, Instructure'ın resmi yönlendirmelerini takip etmeli ve tetikte olmalıdır. Bu ölçekteki ihlallerin tam olarak anlaşılması zaman alır; ancak yukarıdaki adımlar, maruziyetinizi bugünden itibaren azaltmanıza yardımcı olabilir.

ShinyHunters, Edtech Devi Instructure'dan 275 Milyon Kayıt Çaldığını İddia Ediyor

ShinyHunters Kim ve Neden Önemsemeliyiz

Bu Sizin İçin Ne Anlama Geliyor

Eğitim Sektöründeki Güvenlik Sorunlarının Daha Geniş Boyutu

Uygulanabilir Çıkarımlar

// SSS

// İlgili