Cyberangrep mot Canvas: Trussel om datalekkasje setter skoler i fare

Cyberangrep lammer Canvas – trussel om datalekkasje

Et alvorlig cyberangrep har rammet Canvas, den populære utdanningsplattformen utviklet av Instructure, og satt skoler, elever og lærere over hele landet ut av spill. Plattformen ble midlertidig tatt ned etter at angripere endret innholdet på innloggingssiden, noe som førte til omfattende driftsstans.

Angripere krever løsepenger

Cyberkriminellegruppen ShinyHunters, kjent for tidligere dataangrep, har tatt på seg ansvaret for angrepet. Gruppen krever løsepenger for å hindre lekkasje av data de hevder å ha stjålet. Ifølge trusselaktørene inneholder dataen 3,65 terabyte informasjon fordelt på 275 millioner poster fra 8 809 skolesystemer.

Opprinnelig satte gruppen en frist til 6. mai, men da denne gikk ut uten betaling, økte presset. Angriperne injiserte en utpressingsmelding direkte inn på innloggingssidene til rundt 330 institusjoner og utvidet trusselen til å gjelde skole for skole med ny frist satt til 12. mai.

Instructure tar grep etter kritikk

Etter omfattende kritikk for svak kommunikasjon og mangelfull respons, tok Instructure grep og tok Canvas midlertidig ned for å begrense skadeomfanget. Plattformen var tilbake online og fullt operativ igjen innen fredag.

Steve Daly, administrerende direktør i Instructure, beklaget over helgen den manglende kommunikasjonen og dårlige håndteringen av situasjonen:

«Mange av dere har opplevd ekte forstyrrelser. Stress på teamene deres. Tapte øyeblikk i klasserommet. Spørsmål dere ikke fikk svar på. Dere fortjente bedre og mer konsistent kommunikasjon fra oss, og det leverte vi ikke. Jeg beklager det.»

Daly bekreftet at angrepet, som fortsatt etterforskes med hjelp fra CrowdStrike, har eksponert brukernavn, e-postadresser, kursnavn, påmeldingsinformasjon og meldinger. Han forsikret imidlertid om at kursinnhold, innleveringer og legitimasjonsinformasjon ikke er kompromittert.

Reaksjoner fra utdanningssektoren og politikere

Den midlertidige nedetiden har skapt stor bekymring i utdanningssektoren. Eksperter innen ransomware og trusseljakt følger situasjonen nøye, og hendelsen har også fått oppmerksomhet fra amerikanske lovgivere.

House Homeland Security Committee sendte mandag et brev til Daly der de krever en briefing innen 21. mai. I brevet uttrykker komitéleder Andrew Garbarino bekymring for Instructures håndtering av angrepet og spørsmål om selskapets evne til å sikre dataene det forvalter:

«Gjentakelsen av et innbrudd innen få dager etter den første avdekkingen, samt Instructures tilsynelatende manglende evne til å fullstendig rette opp underliggende sårbarheter i løpet av den perioden, reiser alvorlige spørsmål om selskapets håndtering av hendelser og dets forpliktelser overfor institusjonene og individene det lagrer data for.»

Komitéen ønsker å få klarhet i omstendighetene rundt begge innbruddene, samt hvilke tiltak som er iverksatt for å forhindre fremtidige angrep.

Hva skjer nå?

Instructure jobber fortsatt med å undersøke omfanget av angrepet og har bedt berørte parter om å være ekstra varsomme på grunn av potensiell lekkasje av personopplysninger. Selskapet har ikke bekreftet om det er betalt løsepenger eller hvilken respons de har gitt til trusselaktørene.

Situasjonen understreker behovet for sterkere cybersikkerhetstiltak i utdanningssektoren, spesielt for plattformer som håndterer sensitiv informasjon om elever og ansatte.