Os legisladores da Câmara dos EUA estão exigindo que representantes da Instructure, fabricante de software program educacional que foi hackeada duas vezes, testemunhem sobre a resposta da empresa aos ataques cibernéticos que permitiram que hackers roubassem os dados pessoais de milhões de estudantes em todo o mundo.
O Comitê de Segurança Interna da Câmara está investigando os hacks e a violação de dados, pois tem jurisdição sobre as atividades governamentais relacionadas à segurança interna, escreveu o presidente do comitê, deputado Andrew Garbarino, em uma carta para o presidente-executivo da Instructure, Steve Daly. A agência de segurança cibernética dos EUA, CISA, foi chamada para ajudar no incidente.
O comitê busca o testemunho de Daly para abordar como os hackers invadiram repetidamente os sistemas da Instructure e para divulgar os tipos de dados que foram obtidos, disse Garbarino na carta, que cita reportagens do TechCrunch. A carta também diz que os legisladores querem saber como a empresa está respondendo aos ataques e notificando as escolas afetadas e procuram examinar a adequação da sua coordenação com a CISA.
A Instructure, que fabrica o common software program de portal de informações escolares Canvas, tem enfrentado críticas por sua resposta aos ataques, especialmente depois de admitir que os hackers abusaram da mesma vulnerabilidade para roubar resmas de dados confidenciais dos alunos e depois desfigurar as páginas de login da escola.
A empresa confirmou esta semana que “chegou a um acordo” com os hackers e alegou que os hackers forneceram evidências de que haviam excluído os dados roubados. Um representante dos hackers ShinyHunters disse ao TechCrunch que eles não continuariam a extorquir a empresa ou seus clientes, mas se recusou a dizer quanto a empresa pagou como resgate.
Especialistas em segurança argumentam há muito tempo que pagar hackers apenas serve para financiar ataques futuros. Sabe-se que os hackers retêm dados roubados mesmo depois de alegarem tê-los excluído, muitas vezes na esperança de extorquir as vítimas novamente.
Garbarino disse que a segunda violação pelos mesmos hackers levanta “sérias questões sobre as capacidades de resposta a incidentes da empresa e suas obrigações para com as instituições e indivíduos cujos dados ela detém”.
“A escala e o momento da violação da Inestrutura, e a incapacidade demonstrada de um grande fornecedor de tecnologia educacional de conter um ator ameaçador após uma intrusão inicial, são precisamente o tipo de vulnerabilidades sistêmicas que este Comitê tem a responsabilidade de examinar”, escreveu Garbarino na carta.
A Instructure ainda não disse se responderá à carta ou se Daly – ou quem quer que seja o responsável pela segurança cibernética da empresa – testemunhará.
O porta-voz da Instructure, Brian Watkins, não respondeu ao pedido de comentários do TechCrunch na quarta-feira.
Quando você compra por meio de hyperlinks em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
