Instructure сообщила о второй утечке данных за год
Гигант образовательных технологий Instructure подтвердил вторую утечку данных менее чем за год, что вызвало серьезные опасения по поводу безопасности данных миллионов студентов и преподавателей. Масштаб утечки и количество пострадавших пользователей пока не ясны.
Обзор события
Компания Instructure, ведущий игрок в секторе образовательных технологий и разработчик популярной системы управления обучением (LMS) Canvas, вновь потрясла мир кибербезопасности своим недавним заявлением. Компания публично сообщила о второй крупной утечке данных менее чем за год. Это событие вновь вызвало серьезные опасения относительно безопасности данных миллионов студентов, преподавателей и учебных заведений, которые полагаются на эту платформу. Учитывая, что последствия первой утечки еще не до конца преодолены, второй инцидент поднимает серьезные вопросы об инфраструктуре безопасности и протоколах защиты данных компании.
В официальном заявлении Instructure подтвердила факт инцидента, но пока не предоставила подробной информации о точной причине утечки, личности злоумышленников или конкретных типах затронутых данных. Компания заявила, что немедленно начала внутреннее расследование после обнаружения инцидента и сотрудничает с ведущими фирмами по кибербезопасности для защиты своих систем. Однако в подобных ситуациях прозрачность и оперативная коммуникация имеют решающее значение для восстановления доверия пользователей. По мере цифровизации сектора образования защита конфиденциальных данных, хранящихся на таких платформах, становится важнее, чем когда-либо.
Утекшие данные и масштаб
Хотя Instructure не опубликовала конкретный список скомпрометированных данных, природа комплексной системы управления обучением, такой как Canvas, позволяет оценить потенциальный масштаб риска. Такие платформы обычно содержат персональные данные пользователей (PII). К ним могут относиться имена, фамилии, адреса электронной почты, студенческие билеты, а иногда даже номера телефонов и физические адреса студентов и преподавателей. Утечка этой информации может стать основой для кражи личных данных, целевых фишинговых атак и других мошеннических действий.
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →Помимо личной информации, под значительным риском находятся и академические данные. В эту категорию входит строго конфиденциальная информация, такая как оценки студентов, записи об участии в занятиях, сданные задания, результаты экзаменов и переписка с преподавателями. Попадание этих данных в чужие руки может быть использовано для академического шантажа, нанесения ущерба репутации или получения несправедливого преимущества. Кроме того, раскрытие административных данных учебных заведений, расписаний курсов и внутренней переписки может нарушить их операционную деятельность.
Технический аспект атаки
Технические детали того, как была проведена атака, пока не разглашаются, но эксперты по кибербезопасности рассматривают несколько распространенных векторов атак, нацеленных на компании такого масштаба. Первый — это несанкционированный доступ, часто осуществляемый с использованием слабых или украденных учетных данных. Фишинговые атаки, особенно направленные на сотрудников, являются частым методом, с помощью которого злоумышленники получают первоначальный доступ к системе. Обманув сотрудника и заставив его раскрыть свое имя пользователя и пароль через поддельное электронное письмо или веб-сайт, злоумышленники могут проникнуть в сеть.
Другой возможный сценарий — эксплуатация уязвимости в программном обеспечении или инфраструктуре. Так называемые уязвимости нулевого дня (zero-day), для которых еще не выпущены исправления, или известные уязвимости, которые компании не обновили своевременно, являются ценными целями для киберпреступников. Кроме того, неправильно настроенные облачные хранилища являются частой причиной утечек данных. Хранение данных в незашифрованном виде или на общедоступном сервере без надлежащих ограничений доступа может привести к легкой краже конфиденциальной информации. Расследование Instructure, hopefully, выявит, какая из этих возможностей привела к данной утечке.
Кто пострадал?
Платформа Canvas от Instructure используется миллионами людей по всему миру, от начальных школ до университетов и корпоративных учебных программ. Следовательно, круг потенциально пострадавших от этой утечки очень широк. Основные группы риска — это студенты, преподаватели, научные сотрудники и администраторы учебных заведений. Для студентов раскрытие их личных и академических данных является нарушением конфиденциальности и несет риски, которые могут негативно повлиять на их будущее образование и карьеру.
Для преподавателей и научных сотрудников ситуация сопряжена с другими рисками. Их интеллектуальная собственность, такая как учебные материалы, данные исследований и частная переписка со студентами, может оказаться под угрозой. С точки зрения администраторов и учебных заведений, утечка не только влечет за собой юридическую и финансовую ответственность, но и серьезно вредит репутации учреждения. Потеря доверия со стороны родителей и студентов — один из самых пагубных исходов для образовательного учреждения.
Что вам следует делать?
Если вы являетесь пользователем Instructure или Canvas, есть несколько немедленных шагов, которые вы можете предпринять для защиты своих данных. Первый и самый важный шаг — немедленно сменить пароль от вашей учетной записи Canvas. Убедитесь, что ваш новый пароль является надежным — сложной комбинацией прописных и строчных букв, цифр и специальных символов, которую трудно угадать. Если вы используете тот же пароль на других платформах, крайне важно сменить и их, поскольку утечка в одном месте может скомпрометировать ваши другие аккаунты.
Во-вторых, включите двухфакторную аутентификацию (2FA) или многофакторную аутентификацию (MFA) везде, где это возможно. Это добавляет второй уровень безопасности, например, код, отправляемый на ваш телефон, что значительно повышает защиту, даже если ваш пароль будет украден. Наконец, будьте особенно бдительны в отношении электронных писем, которые вы будете получать в ближайшее время. Киберпреступники часто используют новости об утечках данных как возможность для фишинговых кампаний, отправляя поддельные письма с просьбой «подтвердить вашу учетную запись» или «обновить пароль» в попытке украсть больше информации.
Заявление компании
В своем заявлении, подтверждающем инцидент, Instructure подчеркнула, что относится к ситуации чрезвычайно серьезно и мобилизует все свои ресурсы для защиты пострадавших пользователей. Компания заявила, что тесно сотрудничает с правоохранительными органами и экспертами по кибербезопасности и обязалась прозрачно информировать общественность и пострадавших пользователей по мере продвижения расследования. Столкновение с подобным инцидентом во второй раз за год ясно показывает, что компании необходимо пересмотреть свою стратегию и инфраструктуру кибербезопасности. Восстановление доверия пользователей и учреждений, несомненно, станет главным приоритетом Instructure в ближайшем будущем.