Vụ Vi Phạm Dữ Liệu Canvas Lần 2 Làm Gián Đoạn Kỳ Thi Tại Penn State và Nhiều Nơi Khác

Một sự cố truy cập trái phép lần thứ hai nhắm vào nền tảng Canvas của Instructure vào ngày 7 tháng 5 đã gây chấn động trong giới giáo dục đại học, buộc các trường đại học bao gồm Penn State phải hủy thi, hạn chế quyền truy cập nền tảng và gấp rút tìm kiếm các kế hoạch dự phòng. Vụ vi phạm dữ liệu Canvas ảnh hưởng đến các trường học và cao đẳng đánh dấu sự leo thang đáng báo động trong các cuộc tấn công nhắm vào công nghệ giáo dục tập trung, đặt dữ liệu học thuật và cá nhân nhạy cảm của hàng triệu sinh viên vào tầm ngắm trực tiếp.

Điều Gì Đã Xảy Ra Trong Vụ Vi Phạm Thứ Hai Của Instructure

Vào ngày 7 tháng 5, Instructure đã xác nhận sự cố truy cập trái phép lần thứ hai ảnh hưởng đến hệ thống quản lý học tập Canvas. Mặc dù các chi tiết kỹ thuật đầy đủ vẫn còn hạn chế, vụ vi phạm diễn ra ngay sau gót một sự cố trước đó, cho thấy rằng lỗ hổng ban đầu có thể chưa được khắc phục hoàn toàn hoặc những kẻ tấn công đã tìm ra con đường mới xâm nhập vào cơ sở hạ tầng của nền tảng.

Instructure tuyên bố rằng vấn đề cuối cùng đã được giải quyết và Canvas đã trở lại trạng thái hoạt động đầy đủ, không có bằng chứng nào về việc truy cập trái phép đang diễn ra tại thời điểm công bố. Tuy nhiên, sự đảm bảo đó không đủ để xoa dịu lo ngại trong hàng nghìn trường học phụ thuộc vào Canvas để phân phối khóa học, đánh giá và lưu trữ hồ sơ học sinh nhạy cảm.

Sự cố thứ hai này là một phần của mô hình tấn công rộng hơn nhắm vào Instructure. Như đã đề cập trong Vi Phạm ShinyHunters Ảnh Hưởng Đến Canvas của Instructure: Sinh Viên Bị Lộ Thông Tin, nhóm hacker khét tiếng ShinyHunters trước đây đã xác nhận một vụ vi phạm ảnh hưởng đến hàng triệu sinh viên và nhà giáo dục tại các tổ chức trên toàn thế giới. Sự cố ngày 7 tháng 5 làm trầm trọng thêm vụ xâm phạm trước đó, đặt ra câu hỏi liệu các cải tiến bảo mật thích hợp có được thực hiện trong thời gian tạm nghỉ hay không.

Những Trường Nào Bị Ảnh Hưởng và Như Thế Nào

Đại học Penn State là một trong những tổ chức bị ảnh hưởng nổi bật nhất, hủy các kỳ thi đã lên lịch và tạm thời hạn chế quyền truy cập Canvas của giảng viên và sinh viên. Thời điểm xảy ra sự cố đặc biệt gây thiệt hại, vì vụ vi phạm xảy ra trong giai đoạn nhiều trường cao đẳng và đại học đang ở giữa mùa thi cuối kỳ, khi sinh viên phụ thuộc nhiều nhất vào nền tảng để nộp bài tập, truy cập tài liệu khóa học và làm bài kiểm tra trực tuyến.

Ngoài Penn State, hệ thống Đại học California và Đại học Bang California cũng được báo cáo là bị ảnh hưởng, cùng với các tổ chức trên khắp Virginia và các tiểu bang khác. Phạm vi quốc tế của vụ vi phạm, chạm đến các trường đại học trên toàn cầu, nhấn mạnh mức độ Canvas đã trở thành một phần không thể thiếu trong cơ sở hạ tầng học thuật trên toàn thế giới.

Đối với sinh viên, hậu quả thực tế không chỉ dừng lại ở việc lỡ thời hạn nộp bài. Việc hủy thi đã tạo ra sự hỗn loạn về lịch trình cho sinh viên năm cuối và những người có yêu cầu học thuật nhạy cảm về thời gian. Giảng viên phải đối mặt với thách thức liên lạc với sinh viên qua các kênh dự phòng trong thời gian ngắn, và các nhà quản lý phải đưa ra quyết định nhanh chóng về việc có nên tin tưởng vào nền tảng trong khi cuộc điều tra đang được tiến hành hay không.

Tại Sao Các Nền Tảng Ed-Tech Tập Trung Là Rủi Ro Bảo Mật

Việc Instructure liên tục bị nhắm mục tiêu làm nổi bật một vấn đề cấu trúc trong công nghệ giáo dục hiện đại: sự tập trung dữ liệu nhạy cảm từ hàng nghìn tổ chức vào cơ sở hạ tầng của một nhà cung cấp duy nhất. Canvas phục vụ ước tính 9.000 hoặc hơn các tổ chức giáo dục trên toàn cầu. Quy mô đó tạo ra một mục tiêu có giá trị cực kỳ cao cho tội phạm mạng, vì một vụ vi phạm thành công duy nhất có thể mang lại hồ sơ học thuật, thông tin nhận dạng cá nhân và có thể cả dữ liệu tài chính từ hàng triệu cá nhân cùng một lúc.

Đây chính là định nghĩa của điểm thất bại duy nhất. Khi một hệ thống trường học vận hành cơ sở hạ tầng cục bộ riêng, một vụ vi phạm có thể gây thiệt hại nhưng được kiểm soát. Khi hàng nghìn trường học thuê ngoài dữ liệu của họ cho một nền tảng, bán kính thiệt hại của bất kỳ cuộc tấn công nào cũng trở nên khổng lồ. Nhóm ShinyHunters đã nhận ra điều này khi họ được cho là đã tuyên bố truy cập gần 275 triệu hồ sơ trong một sự cố liên quan đến Instructure, như được trình bày chi tiết trong ShinyHunters Tuyên Bố 275 Triệu Hồ Sơ Trong Vụ Vi Phạm Instructure.

Các khuôn khổ pháp lý như FERPA tại Hoa Kỳ yêu cầu các tổ chức giáo dục bảo vệ hồ sơ học sinh, nhưng các nghĩa vụ và cơ chế thực thi trở nên phức tạp khi dữ liệu được giữ bởi một nhà cung cấp bên thứ ba. Các trường học có thể phải đối mặt với rủi ro trách nhiệm pháp lý mặc dù họ không phải là mục tiêu trực tiếp của cuộc tấn công.

Cách Sinh Viên và Nhân Viên Có Thể Bảo Vệ Dữ Liệu Học Thuật Nhạy Cảm

Mặc dù các quyết định bảo mật của tổ chức thuộc về các quản trị viên và bộ phận CNTT, nhưng có những bước cụ thể mà sinh viên và nhân viên có thể thực hiện để giảm thiểu rủi ro cá nhân.

Sử dụng mật khẩu mạnh, duy nhất. Nếu bạn tái sử dụng cùng một mật khẩu trên nhiều nền tảng và thông tin đăng nhập Canvas bị xâm phạm, những kẻ tấn công có thể thực hiện các cuộc tấn công nhồi nhét thông tin đăng nhập vào email, tài khoản ngân hàng hoặc các tài khoản khác của bạn. Sử dụng trình quản lý mật khẩu để tạo và lưu trữ thông tin đăng nhập duy nhất cho mọi dịch vụ.

Bật xác thực đa yếu tố ở bất cứ đâu có thể. Canvas và hầu hết các hệ thống SSO của tổ chức đều hỗ trợ MFA. Kích hoạt nó có nghĩa là một mật khẩu bị đánh cắp đơn thuần là không đủ để kẻ tấn công truy cập vào tài khoản của bạn.

Cảnh giác với các nỗ lực lừa đảo. Sau một vụ vi phạm lớn, những kẻ tấn công thường gửi email lừa đảo tiếp theo giả mạo nền tảng bị ảnh hưởng hoặc chính tổ chức đó. Hãy xem xét kỹ lưỡng bất kỳ email không được yêu cầu nào yêu cầu bạn đặt lại thông tin đăng nhập hoặc xác minh chi tiết tài khoản. Truy cập trực tiếp vào URL chính thức của tổ chức thay vì nhấp vào các liên kết email.

Theo dõi hồ sơ học thuật và cá nhân của bạn. Nếu tổ chức của bạn xác nhận rằng dữ liệu của bạn được bao gồm trong vụ vi phạm, hãy xem xét việc đóng băng tín dụng và theo dõi bất kỳ dấu hiệu nào của việc lạm dụng danh tính. Hồ sơ học thuật và thẻ sinh viên có thể được sử dụng trong các cuộc tấn công kỹ thuật xã hội có chủ đích.

Hỏi tổ chức của bạn về các chi tiết cụ thể. Các trường học có nghĩa vụ theo FERPA thông báo cho sinh viên về các vụ vi phạm ảnh hưởng đến hồ sơ của họ. Đừng thụ động chờ đợi; hãy liên hệ với phòng đăng ký hoặc bộ phận CNTT của bạn và hỏi trực tiếp dữ liệu nào liên quan và những bước bảo vệ nào đang được thực hiện thay mặt bạn.

Điều Này Có Nghĩa Gì Đối Với Bạn

Vụ vi phạm dữ liệu Canvas lần thứ hai ảnh hưởng đến các trường học và cao đẳng là lời nhắc nhở rằng sự tiện lợi và tập trung hóa đi kèm với những đánh đổi. Hàng triệu sinh viên tin tưởng rằng các tổ chức học thuật của họ, và các nhà cung cấp mà những tổ chức đó phụ thuộc vào, đang bảo vệ thông tin cá nhân của họ. Niềm tin đó đã bị thử thách hai lần trong một khoảng thời gian ngắn.

Đối với sinh viên và nhà giáo dục, ưu tiên thực tế ngay bây giờ là bảo mật các tài khoản cá nhân và cảnh giác với các cuộc tấn công tiếp theo. Đối với các tổ chức, vụ vi phạm nên thúc đẩy việc xem xét nghiêm túc các yêu cầu bảo mật nhà cung cấp, các thực hành giảm thiểu dữ liệu và lập kế hoạch dự phòng cho khi các nền tảng của bên thứ ba ngừng hoạt động hoặc bị xâm phạm.

Để hiểu đầy đủ phạm vi của các cuộc tấn công liên quan đến Instructure và các tác nhân đe dọa liên quan, hãy xem lại thông tin chi tiết về vụ vi phạm ShinyHunters được liên kết ở trên. Biết nguồn gốc và phương pháp đằng sau các sự cố này là bước đầu tiên để vận động bảo vệ mạnh mẽ hơn từ các nền tảng mà bạn và tổ chức của bạn phụ thuộc vào mỗi ngày.