לחץ גובר על Canvas: קבוצת האקרים מאיימת לדלוף נתונים רגישים עד לתאריך יעד חדש

לחץ גובר מופעל על חברת Instructure, המפעילה את פלטפורמת Canvas, לאחר שפושעי סייבר איימו לדלוף מאגר נתונים רגישים שנגנב לכאורה במהלך מתקפת סייבר ממושכת על הפלטפורמה החינוכית הנפוצה ביותר בעולם.

בתחילת השבוע האחרון, לאחר פעילות זדונית נוספת שכללה השחתת דף הכניסה של הפלטפורמה, החברה נאלצה להוריד את Canvas באופן זמני. כתוצאה מכך, בתי ספר, סטודנטים ומורים ברחבי המדינה התקשו לגשת לנתונים קריטיים. עד לסוף השבוע, החברה הודיעה כי Canvas חזרה לפעילות מלאה.

קבוצת ShinyHunters, קבוצת פושעי סייבר ידועה המקושרת ל-The Com, לקחה אחריות על המתקפה באתר הדלפות הנתונים שלה ומנסה לסחוט את החברה עבור סכום כופר לא ידוע. Instructure לא אישרה קיום דרישת כופר ולא הגיבה לשאלות בנושא.

הקבוצה הציבה תחילה מועד אחרון ל-6 במאי — ארבעה ימים לאחר ש-Instructure הודיעה כי האירוע נמצא תחת שליטה — וטענה כי גנבה 3.65 טרה-בייט של נתונים הכוללים 275 מיליון רשומות מ-8,809 מערכות חינוך. לאחר שחלף המועד ללא תשלום, הגדילה הקבוצה את הלחץ על ידי הזרקת הודעת סחיטה ישירות לדפי הכניסה של Canvas ב-330 מוסדות חינוך, והעבירה לסחיטה מוסד אחר מוסד עם מועד אחרון חדש ל-12 במאי, כך לדברי Cynthia Kaiser, סגנית נשיא בכירה במרכז המחקר לרנסומוור של חברת Halcyon, ל-CyberScoop.

«היקף הפריצה הופך אותה לאחת החשיפות הגדולות ביותר בתחום החינוך שאנו עוקבים אחריהן», הוסיפה.

הלחץ הציבורי הנוסף הביא את Instructure להוריד את Canvas באופן זמני, מה שגרם לשיבושים נרחבים בלימודים ובגישה למערכות קריטיות ברחבי המדינה. מנכ״ל Instructure, Steve Daly, התנצל בסוף השבוע על תקשורת לא עקבית ותגובה לקויה למתקפת הסייבר. «בימים האחרונים רבים מכם התמודדו עם שיבושים אמיתיים. מתח על הצוותים שלכם, רגעים שהוחמצו בכיתה, שאלות שלא קיבלתן מענה. מגיע לכם לתקשורת עקבית יותר מאיתנו, ולא סיפקנו אותה. אני מתנצל על כך», אמר בהודעה.

דאלי הודה כי המתקפה, הנחקרת כעת בסיוע חברת CrowdStrike, חשפה שמות משתמשים, כתובות אימייל, שמות קורסים, מידע על הרשמות והודעות. הוא הבטיח כי תוכן הקורסים, הגשות ופרטי הכניסה לא נפגעו.

השיבושים הנרחבים, אף שהיו זמניים, עוררו דאגה רחבה בקרב מגזר החינוך, כאשר מומחי סייבר וצוותי אבטחה ממשיכים לעקוב אחר ההתפתחויות. המתקפה אף זכתה לתשומת לב מצד מחוקקים בקונגרס האמריקאי. ועדת הביטחון הפנים של בית הנבחרים פרסמה ביום שני מכתב למנכ״ל Instructure, בו היא דורשת לקיים פגישת עדכון עם בכיר בחברה עד ל-21 במאי.

«החזרה של פריצה תוך ימים ספורים לאחר חשיפת הפריצה הראשונה, וכשלונה של Instructure לתקן באופן מלא את הפגיעויות הבסיסיות במהלך תקופה זו, מעלים שאלות קשות לגבי יכולות התגובה שלה ומערכת החובות שלה כלפי המוסדות והאנשים שהנתונים שלהם נמצאים בידיה», כתב Andrew Garbarino, יו״ר הוועדה, במכתב לדאלי.

הוועדה מבקשת לקבל מידע נוסף על «נסיבות שתי הפריצות, אופי הנתונים שנחשפו והצעדים שננקטו כדי למנוע אירועים דומים בעתיד».