Instructure Bir İldən Az Müddətdə İkinci Məlumat Sızmasını Açıqladı
Təhsil texnologiyaları nəhəngi Instructure, bir ildən az müddət ərzində ikinci dəfə məlumat sızması ilə üzləşdiyini təsdiqləyib. Hadisə milyonlarla tələbə və müəllimin məlumat təhlükəsizliyi ilə bağlı ciddi narahatlıqlara səbəb olub. Sızmanın miqyası və təsirlənən istifadəçi sayı hələlik dəqiqləşməyib.
Hadisənin Xülasəsi
Təhsil texnologiyaları sahəsinin aparıcı şirkətlərindən və məşhur öyrənmə idarəetmə sistemi (LMS) olan Canvas-ın tərtibatçısı Instructure, bu yaxınlarda verdiyi bir bəyanatla kiber-təhlükəsizlik dünyasını bir daha sarsıtdı. Şirkət, bir ildən az bir müddət ərzində ikinci böyük məlumat sızması yaşadığını ictimaiyyətə açıqladı. Bu inkişaf, platformadan istifadə edən milyonlarla tələbə, müəllim və təhsil müəssisəsinin məlumatlarının təhlükəsizliyinə dair ciddi narahatlıqları yenidən alovlandırdı. İlk sızmanın təsirləri hələ tam aradan qaldırılmamışkən, ikinci bir hadisənin baş verməsi şirkətin təhlükəsizlik infrastrukturu və məlumatların qorunması protokolları haqqında əhəmiyyətli suallar yaradır.
Instructure tərəfindən verilən rəsmi açıqlama hadisənin mövcudluğunu təsdiqləsə də, sızmanın dəqiq səbəbi, təcavüzkarların kimliyi və təsirlənən məlumat növləri haqqında hələ ətraflı məlumat vermir. Şirkət, hadisəni aşkar edən kimi dərhal daxili araşdırmaya başladığını və aparıcı kiber-təhlükəsizlik firmaları ilə əməkdaşlıq edərək sistemlərini təmin etmək üçün addımlar atdığını bildirdi. Lakin bu cür hadisələrdə şəffaflıq və sürətli kommunikasiya istifadəçi etimadını yenidən qazanmaq üçün kritik əhəmiyyət daşıyır. Təhsil sektorunun rəqəmsallaşması ilə bu cür platformaların saxladığı həssas məlumatların qorunması hər zamankından daha vacib hala gəlmişdir.
Sızdırılan Məlumatlar və Miqyası
Instructure, hansı məlumatların sızdırıldığına dair xüsusi bir siyahı dərc etməsə də, Canvas kimi əhatəli bir öyrənmə idarəetmə sisteminin təbiəti etibarilə saxladığı məlumat növləri potensial riskin ölçüsünü gözlər önünə sərir. Bu cür platformalar adətən istifadəçilərin şəxsi müəyyənləşdirici məlumatlarını (PII) ehtiva edir. Bunlar arasında tələbə və müəllimlərin adları, soyadları, e-poçt ünvanları, tələbə nömrələri və hətta bəzən telefon nömrələri və ünvan məlumatları ola bilər. Bu məlumatların sızdırılması şəxsiyyət oğurluğu, hədəfli fişinq hücumları və digər dələduzluq fəaliyyətləri üçün zəmin yarada bilər.
E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.
İndi Yoxla →Şəxsi məlumatlardan əlavə, akademik məlumatlar da böyük risk altındadır. Tələbələrin qiymətləri, dərslərdə iştirakı, təqdim etdikləri tapşırıqlar, imtahan nəticələri və müəllimlərlə olan yazışmaları kimi son dərəcə məxfi məlumatlar bu kateqoriyaya daxildir. Bu məlumatların pis niyyətli şəxslərin əlinə keçməsi akademik şantaj, nüfuza xələl gətirmə və ya haqsız üstünlük əldə etmə kimi məqsədlərlə istifadə edilə bilər. Bundan əlavə, qurumların inzibati məlumatları, dərs cədvəlləri və daxili kommunikasiya kimi əməliyyat məlumatlarının ifşa olunması təhsil müəssisələrinin fəaliyyətini pozma potensialına malikdir.
Hücumun Texniki Tərəfi
Hücumun necə həyata keçirildiyinə dair texniki təfərrüatlar hələ açıqlanmayıb, lakin kiber-təhlükəsizlik mütəxəssisləri bu miqyasdakı şirkətləri hədəf alan bir neçə ümumi hücum vektoru üzərində dayanırlar. Bunlardan birincisi, adətən zəif və ya oğurlanmış etimadnamələrdən istifadə edilərək həyata keçirilən icazəsiz girişdir. Xüsusilə işçilərə yönəlmiş fişinq hücumları, təcavüzkarların sistemlərə ilkin giriş nöqtəsi əldə etməsi üçün tez-tez müraciət etdiyi bir üsuldur. Təcavüzkarlar saxta bir e-poçt və ya veb sayt vasitəsilə bir işçinin istifadəçi adını və şifrəsini ələ keçirərək şəbəkəyə daxil ola bilərlər.
Digər bir mümkün ssenari isə proqram təminatında və ya infrastrukturda bir təhlükəsizlik boşluğunun istismar edilməsidir. Hələ yamağı yayımlanmamış təhlükəsizlik boşluqları olan "sıfır gün" (zero-day) zəiflikləri və ya şirkətlərin vaxtında yeniləmədiyi bilinən zəifliklər kiber cinayətkarlar üçün dəyərli hədəflərdir. Həmçinin, yanlış konfiqurasiya edilmiş bulud saxlama xidmətləri də məlumat sızmalarının geniş yayılmış bir səbəbidir. Məlumatların şifrələnmədən və ya giriş məhdudiyyətləri olmadan hər kəsə açıq bir serverdə saxlanılması, həssas məlumatların asanlıqla ələ keçirilməsinə səbəb ola bilər. Instructure-ın araşdırması bu ehtimallardan hansının və ya hansılarının bu sızmaya səbəb olduğunu ortaya çıxaracaq.
Kimlər Təsirlənib?
Instructure-ın Canvas platforması dünya miqyasında ibtidai məktəblərdən universitetlərə və korporativ təlim proqramlarına qədər geniş bir spektrdə milyonlarla insan tərəfindən istifadə olunur. Buna görə də bu sızmadan potensial olaraq təsirlənəcək kütlə olduqca genişdir. Başda tələbələr olmaqla, müəllimlər, akademiklər və məktəb rəhbərləri risk altındakı əsas qrupları təşkil edir. Tələbələr üçün şəxsi və akademik məlumatlarının ifşa olunması onların məxfiliyinin pozulması deməkdir və gələcək təhsil və karyera həyatlarına mənfi təsir göstərə biləcək risklər daşıyır.
Müəllimlər və akademiklər üçün isə vəziyyət fərqli risklər daşıyır. Dərs materialları, tədqiqat məlumatları və tələbələrlə olan xüsusi yazışmaları kimi intellektual mülkiyyət xarakterli məlumatları təhlükəyə düşə bilər. Məktəb rəhbərləri və qurumlar baxımından isə sızma təkcə hüquqi və maliyyə məsuliyyətləri yaratmaqla qalmır, həm də qurumun nüfuzuna ciddi şəkildə zərər verir. Valideynlər və tələbələr arasında etimad itkisi bir təhsil müəssisəsi üçün ən arzuolunmaz nəticələrdən biridir.
Nə Etməlisiniz?
Əgər siz Instructure və ya Canvas istifadəçisisinizsə, məlumatlarınızı qorumaq üçün dərhal ata biləcəyiniz bəzi addımlar var. İlk və ən vacib addım Canvas hesabınızın şifrəsini dərhal dəyişdirməkdir. Yeni şifrənizin güclü, yəni böyük-kiçik hərflər, rəqəmlər və xüsusi simvollar ehtiva edən, təxmin edilməsi çətin bir kombinasiya olmasına diqqət edin. Əgər eyni şifrəni başqa platformalarda da istifadə edirsinizsə, təhlükəsizlik zəncirinin ən zəif halqası prinsipinə əsasən, o hesablarınızın şifrələrini də təcili olaraq dəyişdirməyiniz kritik əhəmiyyət daşıyır.
İkincisi, mümkün olan hər yerdə İki Faktorlu Doğrulama (2FA) və ya Çox Faktorlu Doğrulama (MFA) funksiyasını aktivləşdirin. Bu, şifrəniz ələ keçirilsə belə, hesabınıza daxil olmaq üçün telefonunuza göndərilən bir kod kimi ikinci bir təhlükəsizlik qatı əlavə edərək qorunmanı əhəmiyyətli dərəcədə artırır. Nəhayət, yaxın gələcəkdə sizə gələn e-poçtlara qarşı xüsusilə diqqətli olun. Kiber cinayətkarlar bu cür məlumat sızmalarından adətən qurbanları aldatmaq üçün bir fürsət kimi istifadə edir və "Hesabınızı təsdiqləyin" və ya "Şifrənizi yeniləyin" kimi saxta fişinq e-poçtları göndərərək daha çox məlumat oğurlamağa çalışırlar.
Şirkətin Açıqlaması
Instructure, hadisəni təsdiqləyən açıqlamasında vəziyyəti son dərəcə ciddiyə aldıqlarını və təsirlənən istifadəçiləri qorumaq üçün bütün resurslarını səfərbər etdiklərini vurğuladı. Şirkət, hüquq-mühafizə orqanları və kiber-təhlükəsizlik mütəxəssisləri ilə sıx əməkdaşlıq etdiklərini və araşdırma irəlilədikcə ictimaiyyəti və təsirlənən istifadəçiləri şəffaf şəkildə məlumatlandıracaqlarını öhdələrinə götürdü. Bir il ərzində ikinci dəfə belə bir hadisə ilə qarşılaşmaları şirkətin kiber-təhlükəsizlik strategiyasını və infrastrukturunu yenidən nəzərdən keçirməli olduğunu açıq şəkildə göstərir. İstifadəçilərin və qurumların etimadını yenidən qazanmaq, Instructure-ın qarşıdakı dövrdəki ən böyük prioriteti olacaqdır.