Több ezer oktatási intézményt érint a Canvas adatszivárgása
A Canvas tanulástámogató rendszert használó oktatási intézmények isszák meg a levét a ShinyHunters csoport legutóbbi nagy akciójának. Az eset arra hívja fel a figyelmet, hogy az oktatási szektorban is kockázatokat rejt magában, ha egyetlen beszállítónál koncentrálódik a piac nagy része.
A ShinyHunters ransomware csoport április 25-én sikeresen kompromittálta a világszerte népszerű Canvas Learning Management System (LMS) szolgáltatás mögött álló Instructure nevű edtech cég rendszerét, ahonnan 3,65 terabájtnyi adatot nyert ki magának. A felhőalapú tanulástámogató Canvas platformot világszerte több mint nyolcezer oktatási intézmény használja, többek közt a Harvard, az MIT és az Oxford is, az észak-amerikai felsőoktatási intézmények 41 százalékát fedi le.
A körülbelül 275 millió felhasználó adatait tartalmazó csomag 8809 érintett oktatási intézménytől származik Észak-Amerikát, Európát és Ázsia-Csendes-óceán térségét érintve, de eddig főként holland és amerikai iskolák erősítték meg a hírt. A zsarolókampány részeként a csoport nyomásgyakorlásként 330 intézményben lehetetlenítette el a Canvas portálokba való bejelentkezést, és közvetlenül zsarolta az intézményeket annak érdekében, hogy a május 12-re kitűzött végső határidőig kifizessék a kért összegeket, amennyiben nem szeretnék, hogy az adataik nyilvánosságra kerüljenek.
A csoport e-mail címekhez, azonosítószámokhoz, belsős privát levelezésekhez fért hozzá, de jelszavakat, érzékeny pénzügyi információkat nem sikerült lopni. Az ilyen típusú információk a csalások és a pénzügyi visszaélések kockázatait növelik, mivel hatékonyabb adathalász-támadásokhoz használhatják fel más rosszindulatú felek oktatási intézmények személyzetét, diákokat, szülőket, akár pénzügyi segélyszervezeteket, iskolai adminisztrátorokat célozva.
Az IT munkaerőpiac kilábalása állandó délibáb lett Túl sok, számos esetben ellentétes hatás éri az IT munkaerőpiacot, a kínálati piac a béreket, a költséges AI pedig a headcountot eszi.
Az eddigi talán valaha volt legnagyobb, oktatási intézményeket érintő adatvédelmi incidens tehát lényegében a beszállító ellen történt. A támadás a digitalizált oktatás egyik strukturális sebezhetőségére világít rá: mivel a diákok adatai gyakorlatilag egyetlen beszállító kezében koncentrálódtak, így az intézményi munkafolyamatokba mélyen integrálódott Canvas egyetlen biztonsági hibája így több ezer intézmény privát kommunikációját és adatait veszélyezteti. Az intézmények nem tudják függetlenül auditálni a hallgatók adatait védő rendszer biztonságát, és nincs rálátásuk a sebezhetőség-kezelésre sem.
A 2019-ben alakult, elsősorban anyagi haszonszerzés céljából működő ShinyHunters rnasomware csoport nem titkosítja az áldozatok rendszereit, egyszerűen a „fizess vagy szivárogtatunk” modellt alkalmazza. A csoport neve az utóbbi hónapok során több incidenssel kapcsolatban is felmerült, január végén például több mint 29,8 millió SoundCloud-felhasználó fiókhoz köthető adatot sikerült ellopniuk a platform rendszerét ért támadással.
Ez a csoport vállalta magára a felelősséget korábban az Okta, a Microsoft és a Google egyszeri bejelentkezéses (SSO) fiókjait célzó adathalász-támadásokért is, melyek lehetővé tették a támadók számára, hogy vállalati SaaS platformokba férkőzzenek be adatlopás céljából.
A csoport április végén a világ legnagyobb online edukációs platformjának számító Udemy rendszeréből állítása szerint több mint 1,4 millió rekordból álló, személyazonosításra alkalmas adatokat és egyéb belső vállalati adatokat tartalmazó adatcsomagot lopott magának.