A Câmara dos Representantes dos EUA está exigindo o depoimento de representantes da Instructure, a empresa proprietária da plataforma educacional Canvas, que foi hackeada duas vezes. Os legisladores procuram respostas para explicar o atraso na resposta da empresa aos ataques cibernéticos que permitiram que agentes mal-intencionados extraíssem informações pessoais de milhões de estudantes e professores em todo o país.
Inestruturar revelado esta semana que havia chegado a um acordo com o grupo de hackers ShinyHunters, segundo o qual os hackers destruiriam cópias dos dados dos usuários e concordariam em não extorquir os usuários. ShinyHunters hackeou a plataforma primeiro em abril e novamente na semana passada, e afirmou ter como alvo milhares de universidades e distritos escolares.
O Comitê de Segurança Interna da Câmara disse que está investigando o hack junto com a Agência de Segurança Cibernética e de Infraestrutura. A CISA tem trabalhado com a Instructure como um dos “especialistas forenses externos” aos quais a empresa se refere em seu Perguntas frequentes sobre incidentesajudando a “conter a atividade, investigar e aplicar salvaguardas adicionais”.
Agora, o presidente do comitê da Câmara, deputado Andrew Garbarino, está examinando se a coordenação da Instructure com a CISA foi adequada nesta situação. Em uma carta enviado ao CEO da Instructure, Steve Daly, Garbarino, um republicano de Nova York, exigiu saber como a empresa foi hackeada mais de uma vez. O comitê da Câmara também quer informações mais específicas sobre os tipos de informações confidenciais roubadas durante o hack.
A Instructure disse que os dados pessoais roubados durante o hack do Canvas incluíam “informações como nomes de usuário, endereços de e-mail, nomes de cursos, informações de inscrição e mensagens”.
O acordo com ShinyHunters exigia que os hackers excluíssem os dados. A Instructure disse que “nunca há certeza completa quando se lida com cibercriminosos”, mas que recebeu confirmação digital, na forma de logs fragmentados, de que os dados roubados foram excluídos.
A Instructure alertou os usuários afetados do Canvas contra tentativas individuais de contato ou barganha com o grupo ShinyHunters, dizendo que seu acordo “abrange todos os clientes afetados da Instructure”.
O grupo de hackers primeiros sistemas Canvas infiltrados em 29 de abril, usando uma falha de segurança vinculada às contas do Free-For-Instructor. Isso permitiu que o ShinyHunters coletasse informações pessoais vinculadas a estudantes e educadores.
Embora não saibamos exatamente quantas instituições foram afetadas, o hackers reivindicaram eles tinham como alvo mais de 9.000 universidades e distritos escolares públicos. O Canvas é usado em escolas de ensino basic e médio, então é provável que a violação tenha exposto informações confidenciais de alunos menores de idade.
A situação agravou-se quando os hackers violaram a segurança da Instructure pela segunda vez em 7 de maio deixando uma mensagem expor suas atividades ilícitas a qualquer pessoa que tente entrar no Canvas. A Instructure imediatamente colocou o Canvas em modo de manutenção, durante o qual os alunos não conseguiram acessar o serviço.
Se o nome ShinyHunters parece acquainted, é porque é um coletivo bem estabelecido de hackers de ransomware. ShinyHunters é a mesma equipe que violou o Anodot e fugiu com alguns de seus Dados comerciais da Rockstar Video games em abril.
Isso é metas anteriores consistem em grande parte de grandes empresas de tecnologia como Microsoft, Cisco e AT&T, mas os hackers também resgataram informações de companhias de seguros, cooperativas de crédito e outras instituições que lidam com dados confidenciais.
O Canvas está atualmente operacional, embora as contas Free-For-Instructor tenham sido temporariamente desativadas enquanto a Instructure continua investigando a exploração usada para violar seus sistemas.
A Instructure pediu aos clientes que continuassem monitorando suas contas, embora seu parceiro forense externo “não tenha encontrado nenhuma evidência de que o ator da ameaça tenha atualmente acesso à plataforma”.
A Instructure está organizando um webinar para seus clientes com o objetivo de “detalhar informações sobre o ataque cibernético e [Instructure’s] atividades para fortalecer o sistema.” Atualmente não está claro quando isso ocorrerá, apesar da página de atualização de incidentes da empresa indicar que eles estão previsto para 13 de maio.
Quando contatado para comentar, um representante da Instructure apontou a CNET para o página oficial do incidente da empresa.
Uma violação de dados semelhante aconteceu com o PowerSchool em 2024. Apesar de pagar o resgate, os clientes ainda foram extorquidos por mais dinheiro.
Os dados roubados são realmente destruídos? Não há como ter certeza
A Instructure chegou a um acordo com os hackers ShinyHunters, desafiando a sabedoria convencional dos especialistas da indústria e do Divisão de crimes cibernéticos do FBI. Uma vez que a informação é divulgada, pagar um resgate não garante que ela pare de se mover entre malfeitores.
Pior ainda, o pagamento do resgate da Instructure pode incentivar os ShinyHunters ou outros grupos de hackers de ransomware a procurar mais vítimas.
“É um exemplo muito preocupante ver um incidente de tão grande repercussão resultar num pagamento, especialmente quando reconhecido pela empresa vítima desta forma”, disse Troy Hunt, fundador e CEO da Eu fui enganadoum website que monitora informações de senha expostas por violações de dados. “Infelizmente, é agora um exemplo muito claro de como o crime compensa e normaliza o padrão tanto para futuros criminosos como para vítimas”.
Hunt especulou que a decisão provavelmente foi influenciada pelo escopo e escala do incidente. Esta foi uma violação de dados de alta exposição, e a Instructure está sujeita à pressão das escolas e dos pais, especialmente porque lidam com informações confidenciais relacionadas a crianças menores de idade.
Assista isto: O que fazer se suas informações pessoais fizerem parte de uma violação de dados
Mas, no last das contas, não há como garantir que os dados roubados foram realmente destruídos – não existe certeza absoluta no caso do crime cibernético de ransomware.
“Sempre pode haver outra cópia”, disse Hunt. “A mensagem da Instructure sobre ‘destruição de logs’ não fornece nenhuma prova de que todas as cópias dos dados foram excluídas.”
Hunt apontou para um ataque de ransomware semelhante na empresa de educação PowerSchool em dezembro de 2024. Embora a empresa tenha pago uma quantia em troca de um suposto vídeo dos hackers excluindo os dados roubados, cópias das informações confidenciais foram usados mais tarde extorquir professores por dinheiro adicional.
Não podemos ter certeza se os ShinyHunters usarão dados roubados de clientes do Instructure da mesma maneira, mas simplesmente não há garantia de que eles ainda não tenham dados confidenciais de milhões de estudantes norte-americanos.
Se você foi afetado pelo hack recente do Canvas, talvez seja hora de analisar as etapas você pode tomar para se proteger de cibercriminosos que possam ter suas informações pessoais.
