Compania Instructure, forțată să negocieze cu hackerii ShinyHunters după două atacuri și furtul datelor a sute de milioane de elevi și angajați

Instructure, compania care a creat popularul portal educațional Canvas, a anunțat marți că a „ajuns la un acord” cu hackerii care i-au încălcat sistemele de două ori, au furat o cantitate uriașă de date ale elevilor și angajaților și au perturbat activitatea a mii de școli ce depind de acest software.

Gruparea ShinyHunters, cunoscută pentru atacuri cibernetice cu motivație financiară, și-a asumat responsabilitatea pentru breșa de date din 29 aprilie, susținând că a sustras datele personale ale elevilor și angajaților, în total 275 de milioane de persoane. Hackerii au declarat că au compromis Canvas, platformă utilizată de aproape 9 000 de școli pentru gestionarea datelor și activităților academice ale elevilor.

Săptămâna trecută, hackerii au pătruns din nou în sistemele companiei. Au modificat paginile de autentificare Canvas de pe site-urile școlilor, într-o încercare directă de a spori presiunea asupra companiei pentru a plăti răscumpărarea cerută.

Instructure a anunțat pe pagina sa dedicată incidentului, luni seara, că, în urma acordului, hackerii au furnizat dovezi că datele furate au fost distruse și că clienții Canvas nu vor fi supuși unor noi tentative de extorcare.

Compania a recunoscut însă că nu există „niciodată o certitudine completă” în negocierile cu infractorii cibernetici. Totuși, a subliniat că utilizatorii săi nu ar trebui să fie nevoiți să interacționeze direct cu acești hackeri.

Termenii financiari ai înțelegerii nu au fost dezvăluiți, iar Instructure nu a precizat cât a plătit grupării ShinyHunters. Purtătorul de cuvânt al companiei, Brian Watkins, nu a răspuns solicitărilor de comentarii și nici nu a oferit detalii suplimentare despre acord când a fost contactat marți.

Pe site-ul lor de divulgare a datelor, într-o postare pe care TechCrunch a putut să o vadă, ShinyHunters amenințase că va publica informațiile furate de la Instructure dacă nu îi va fi achitată suma cerută drept răscumpărare.

Marți, anunțul privind datele Instructure fusese deja șters de pe pagina ShinyHunters, ceea ce indică faptul că este foarte posibil ca o plată a răscumpărării să fi avut loc.

Un reprezentant al ShinyHunters a declarat pentru TechCrunch: „The data is deleted, gone. The company and it’s [sic] customers will not further be targeted or contacted for payment by us.”

Motivul pentru care Instructure a decis să plătească rămâne neclar. De ani de zile, autoritățile, inclusiv cele din Statele Unite, îndeamnă victimele atacurilor cibernetice să nu plătească răscumpărări, pentru că astfel atacatorii cibernetici sunt încurajați și recompensați. Cercetătorii în securitate IT au atras, de asemenea, atenția că promisiunile infractorilor nu pot fi considerate de încredere: s-au documentat cazuri în care grupările au păstrat datele furate, deși declaraseră că le-au șters, tocmai pentru a continua extorcarea victimelor.

Incidentul de la Instructure seamănă cu atacul asupra companiei PowerSchool. Aceasta a fost victima unei breșe masive de date, care în 2024 a afectat 70 de milioane de elevi și angajați. PowerSchool, care dezvoltă la rândul său software educațional, a plătit hackerilor pentru returnarea datelor furate. Totuși, ulterior, mai mulți clienți ai companiei au fost șantajați de un alt grup infracțional, care a prezentat informații din breșa inițială și care nu fuseseră distruse așa cum se promisese.

FBI a transmis într-o declarație, săptămâna trecută, că este „conștient” de perturbările de sistem care afectează școlile și instituțiile de învățământ din Statele Unite. În notificare nu era menționat explicit numele Canvas, însă era subliniat faptul că victimele nu ar trebui „să trimită bani sau să răspundă” la cererile de plată venite de la infractori cibernetici.

Datele sustrase de la Instructure, dintre care unele au fost văzute de TechCrunch, includ numele elevilor, adresele lor personale de email, precum și mesaje schimbate între profesori și elevi, mesaje ce conțin adesea detalii private și sensibile.

Pe site-ul său, Instructure a admis că hackerii au reușit să compromită sistemele companiei de două ori în mai puțin de un an. Totuși, a precizat că aceste două incidente sunt „evenimente distincte”, care au implicat sisteme și vectori de atac diferiți.

Instructure a anunțat că își continuă ancheta internă asupra breșei și că își verifică și validează în continuare concluziile. Procesul este încă în desfășurare și, potrivit companiei, ar putea dura până la clarificarea tuturor detaliilor tehnice.

Deocamdată nu este clar cine anume, în cadrul Instructure, coordonează sau răspunde de strategia de securitate cibernetică, dacă nu chiar directorul general, Steve Daly. Contactată de TechCrunch, compania a refuzat să spună dacă Daly intenționează să demisioneze în urma acestor breșe de date sau dacă vor exista schimbări în conducere.

Textul de final al materialului se adresează direct administratorilor Canvas si reprezentanților școlilor afectați sau informați despre incident, invitându-i să relateze dacă au primit sau nu solicitări de șantaj din partea hackerilor, prin canale de comunicare considerate mai sigure.