Для миллионов студентов и преподавателей по всему миру инструменты, призванные упростить обучение, теперь представляют собой потенциальную угрозу. Instructure, компания, стоящая за повсеместно используемой платформой обучения Canvas, подтвердила кибератаку, которая привела к масштабной утечке данных, раскрывавшей личную информацию поразительного количества пользователей.
Дело не только в сбоях в работе, которые Instructure в основном устранила к воскресенью, 3 мая. Настоящие последствия — это компрометация персональных данных. Речь идет об именах, адресах электронной почты и, что особенно важно, идентификационных номерах студентов. Сообщается также, что были доступны сообщения пользователей. Хотя Instructure настаивает, что пароли, даты рождения и финансовые данные не были затронуты — слабое утешение в море плохих новостей — сам объем скомпрометированной личной информации вызывает тревогу.
Кто затронут и насколько серьезно?
Instructure на удивление скупо на информацию о точном количестве затронутых учреждений и лиц. Однако печально известная группа вымогателей ShinyHunters уже добавила Instructure в свой утечный сайт на базе Tor, похваставшись кражей ошеломляющих 3,65 терабайт данных. Их заявление? Информация, принадлежащая 275 миллионам студентов, преподавателей и другого персонала почти 9 000 образовательных учреждений по всему миру. Они даже утверждают, что был скомпрометирован Salesforce-инстанс Instructure. Такой масштаб говорит о широкомасштабном и глубоко тревожном инциденте.
Выявленный риск цепочки поставок
Этот инцидент подчеркивает постоянную уязвимость в секторе образования: его зависимость от сторонних edtech-провайдеров. Годами мы наблюдали рост использования платформ, таких как Canvas, которые предлагают неоспоримые преимущества в управлении учебными курсами, общении и оценке. Но это удобство имеет значительный компромисс. Когда один поставщик страдает от взлома, последствия расходятся, затрагивая тысячи нижестоящих организаций и миллионы людей. Это классический пример риска цепочки поставок, где состояние безопасности одной организации определяет состояние безопасности многих.
Это далеко не новое явление в мире технологий. Мы видели похожие закономерности с атаками на цепочку поставок, затрагивающими инструменты разработки программного обеспечения и поставщиков ИТ-услуг. Разница здесь — огромная концентрация конфиденциальных данных, касающихся молодой и часто уязвимой аудитории. Подумайте: идентификаторы студентов, имена и адреса электронной почты — это первоочередные цели для фишинговых кампаний и кражи личных данных. Потенциал для эксплуатации огромен.
«Мы быстро работаем над пониманием масштабов инцидента и активно предпринимаем шаги для минимизации его последствий».
Компания заявила это, но для тех, чьи данные были скомпрометированы, ущерб уже нанесен. Скорость, с которой киберпреступники могут извлекать огромные наборы данных, предполагает, что защита Instructure была либо обойдена, либо недостаточна.
Что это значит для будущего безопасности Edtech?
Этот взлом — суровое напоминание о том, что сектор edtech, несмотря на свои благородные цели, является основной мишенью для киберпреступников. Ценностное предложение для злоумышленников очевидно: большая база пользователей, конфиденциальные персональные данные и часто распределенная ответственность за безопасность, которую можно использовать. Учреждения, полагающиеся на эти платформы, больше не могут позволить себе относиться к безопасности как к второстепенному вопросу.
В будущем следует ожидать усиления контроля за практиками безопасности edtech-поставщиков. Регулирующие органы, вероятно, усилят давление на внедрение лучших мер защиты данных. Для образовательных учреждений необходим более проактивный подход. Это означает тщательную оценку рисков поставщиков, требование прозрачности в отношении протоколов безопасности и внедрение надежных планов реагирования на инциденты, учитывающих сбои у третьих сторон. Простого принятия стандартного заявления поставщика о безопасности больше недостаточно. Нам нужны ощутимые доказательства безопасности, а не просто обещания.
Кроме того, заявления от ShinyHunters — группы, известной своей агрессивной тактикой, — предполагают, что это может перерасти в попытку вымогательства. Угроза утечки данных, особенно связанных с несовершеннолетними, несет огромные репутационные и финансовые риски для Instructure и затронутых учреждений. Независимо от того, уступит ли Instructure требованиям или предпочтет публичную борьбу, данные уже оказались в чужих руках.
Этот инцидент — явное предупреждение. Цифровой класс, при всей его инновационности, по-прежнему остается фронтиром, где безопасность должна быть столь же первостепенной, как и педагогика. Раскрытые здесь данные представляют собой не просто строки в базе данных, а личную информацию людей, которые просто пытаются учиться и учить. Их конфиденциальность, ныне нарушенная, — это истинная цена этой кибератаки.
Связанное: Vimeo подтвердила утечку данных пользователей и клиентов
Связанное: Гигант косметики класса люкс Rituals сообщила об утечке данных
