Злам Canvas: Instructure зіткнулась із судовими позовами через 275 мільйонів записів
Криза конфіденційності студентських даних через злам Canvas перейшла з технічної надзвичайної ситуації в правову. Instructure Inc., компанія, що стоїть за системою управління навчанням Canvas, якою користуються майже 9 000 установ по всьому світу, тепер стикається з хвилею федеральних колективних позовів. Позивачі стверджують, що компанія не забезпечила належний захист персональних даних понад 275 мільйонів студентів і викладачів, що робить цей інцидент одним із найбільших витоків даних в освітньому секторі за всю історію.
Для мільйонів людей, які не мали іншого вибору, крім як користуватися Canvas через свою школу чи університет, судовий процес порушує питання, що виходить за межі правової стратегії: якщо установи, яким ви довіряли, не можуть захистити ваші дані — що ви реально можете з цим вдіяти?
Що, за версією звинувачення, зробила не так Instructure: порушення безпеки, через які було розкрито 275 мільйонів записів
Позови зосереджені на знайомому, але серйозному твердженні: Instructure знала або мала знати, що її платформа зберігає величезний обсяг конфіденційних персональних даних, і не впровадила заходи безпеки, пропорційні цьому ризику.
Хакерська група ShinyHunters взяла на себе відповідальність за атаку, і внаслідок витоку були розкриті імена, електронні адреси, ідентифікаційні номери студентів і приватні повідомлення, що належать студентам і педагогам із тисяч установ. Згідно з повідомленнями постраждалих університетів, Instructure підтвердила, що принаймні частина цих даних була викрадена до того, як вторгнення вдалося зупинити.
Позивачі в колективних позовах стверджують, що платформа, яка функціонує в таких масштабах і зберігає дані такого характеру, була зобов'язана впровадити надійніші засоби контролю доступу, стандарти шифрування та системи виявлення аномалій. Паралелі, які проводяться з попередніми регуляторними заходами проти інших постачальників EdTech, свідчать про те, що правова теорія тут не є новою. Суди та регулятори дедалі частіше визнають, що зберігання студентських даних передбачає підвищений обов'язок піклування, зокрема відповідно до таких законів, як FERPA та державні закони про конфіденційність.
Хто постраждав і які дані перебувають під загрозою
Витік торкнувся користувачів у школах K-12 і закладах вищої освіти в США та за кордоном. На індивідуальному рівні розкриті дані включають інформацію, яка на перший погляд здається буденною, але надзвичайно корисна для зловмисників. Імена у поєднанні з інституційними електронними адресами та ідентифікаційними номерами студентів — це саме та комбінація, яка потрібна для складання переконливих фішингових листів або отримання несанкціонованого доступу до інших шкільних систем.
Приватні повідомлення — це окрема проблема. Багато студентів і викладачів використовують месенджер Canvas для конфіденційних академічних розмов, зокрема обговорення оцінок, пільг і особистих обставин. Те, що ці дані опинилися в руках злочинного угруповання, створює ризики, що виходять далеко за межі спаму чи підбору облікових даних.
Час інциденту, який стався в період фінальних іспитів у багатьох установах, посилив завдану шкоду. Школи поспіхом намагалися відновити доступ, тоді як студенти стикалися з перебоями в навчанні, а педагоги втрачали доступ до записів про здані роботи та журналів оцінок. Операційна шкода йшла пліч-о-пліч із шкодою для конфіденційності, і постраждалі користувачі практично не мали засобів захисту в найближчій перспективі.
Як колективні позови змінюють підзвітність у сфері EdTech
Позови проти Instructure відображають більш широкий зсув у тому, як суди та адвокати позивачів ставляться до компаній EdTech. Упродовж багатьох років сектор освітніх технологій функціонував із відносно обмеженою правовою відповідальністю порівняно, скажімо, з охороною здоров'я чи фінансами. Це змінюється.
Колективні позови у справах про витоки даних стали більш реалістичними, оскільки суди дедалі частіше визнають, що розкриття персональних даних є конкретною шкодою, навіть без задокументованих фінансових втрат. Аргумент про те, що позивачі «ще не постраждали», стає дедалі слабшим у міру того, як докази вторинної шкоди — фішингу, крадіжки особистих даних і моральних страждань — стає легше задокументувати та кількісно оцінити.
Для постачальників EdTech зокрема, регуляторна паралель є показовою. Попередні заходи щодо виконання вимог проти таких компаній, як Google та розробників освітніх додатків відповідно до COPPA та FERPA, встановили, що студентські дані не є товаром, з яким можна поводитися недбало. Адвокати позивачів у справах Instructure, імовірно, спираються на цей прецедент, стверджуючи, що стверджувані порушення безпеки компанії були не просто недбалістю, але й передбачуваними з огляду на регуляторне середовище, в якому вона діяла.
Якщо судовий процес призведе до значної мирової угоди або судового рішення, це може встановити нову базову норму того, як виглядає «розумна безпека» для платформ, що управляють студентськими записами у великих масштабах.
Чому студентам і викладачам потрібен власний захист конфіденційності поза межами навчального закладу
Незручна реальність, яку підкреслює злам Canvas, полягає в тому, що студенти та педагоги майже не мають права голосу щодо того, які платформи обирають їхні установи, але вони несуть наслідки, коли ці платформи дають збій. Відмова від Canvas у школі, яка його вимагає, — нереалістичний варіант для більшості людей.
Ця асиметрія робить особисту гігієну конфіденційності ще більш важливою, а не менш. Кілька практичних кроків можуть суттєво зменшити ваш ризик після такого витоку.
По-перше, ставтеся до своєї інституційної електронної адреси як до скомпрометованої. Очікуйте фішингових спроб із посиланнями на вашу школу, ваші курси або ваш ідентифікаційний номер студента. Скептично ставтеся до будь-якого повідомлення, яке просить вас підтвердити облікові дані або перейти за посиланням, навіть якщо воно здається таким, що надійшло з легітимного джерела.
По-друге, перевірте, чи не з'явилися ваші облікові дані у відомих базах даних витоків. Якщо ви повторно використовували свій пароль від Canvas деінде, негайно змініть ці паролі та подумайте про використання спеціального менеджера паролів надалі.
По-третє, розгляньте сервіси моніторингу особистих даних, які сповіщають вас про нові облікові записи, відкриті на ваше ім'я, або про появу ваших даних на ринках даркнету. Дані з витоків такого масштабу, як правило, циркулюють і знову з'являються протягом місяців і років, а не лише одразу після інциденту.
Нарешті, VPN не відмінить уже скоєний витік, але він захищає ваш трафік в інституційних і публічних мережах, де відбувається більша частина вашого академічного життя. Шифрування вашого з'єднання обмежує те, що може бути перехоплено на мережевому рівні, — це один рівень захисту, який варто підтримувати незалежно від того, що та чи інша платформа робить або не робить із вашими збереженими даними.
Що це означає для вас
Колективні позови проти Instructure — це судовий процес, який триватиме місяцями або роками. Чи призведуть вони до реальних змін у підході компаній EdTech до безпеки — відкрите питання. Зараз очевидно одне: 275 мільйонів людей мали дані, викрадені із системи, якою вони були зобов'язані користуватися, а установи, що зобов'язали їх до цього, тепер вказують на постачальника, тоді як постачальник стоїть перед судом.
Для детального ознайомлення з технічними деталями атаки ShinyHunters і тим, що конкретно було викрадено, розбір витоку Canvas від ShinyHunters розглядає інцидент з точки зору методології зловмисника. Розуміння того, як стався витік, — перший крок до розуміння того, як зменшити власний ризик наступного разу, коли платформа, якою ви зобов'язані користуватися, стане мішенню.
Оцініть свою особисту гігієну даних просто зараз: змінюйте паролі, відстежуйте свою особистість, скептично ставтеся до небажаних повідомлень із посиланнями на вашу школу та досліджуйте інструменти конфіденційності, що підходять для мереж і пристроїв, якими ви користуєтесь щодня. Інституційна підзвітність важлива, але вона діє в іншому часовому вимірі, ніж загрози, що вже перебувають у русі.
