Ponad 9 tysięcy szkół dotkniętych wyciekiem danych z platformy Canvas – atak przypisuje się grupie ShinyHunters

Grupa hakerska ShinyHunters poinformowała o naruszeniu zabezpieczeń platformy Canvas, popularnego narzędzia edukacyjnego używanego przez szkoły na całym świecie. Według doniesień, atak dotknął niemal 9 tysięcy placówek oświatowych, co może oznaczać wyciek danych milionów użytkowników – nauczycieli, uczniów oraz administratorów.

ShinyHunters, znana z przeprowadzania ataków na systemy IT i żądania okupu, opublikowała próbki danych na forum hakerskim, twierdząc, że posiada dostęp do poufnych informacji. Według ich oświadczenia, dane obejmują między innymi adresy e-mail, hasła oraz dane osobowe użytkowników Canvas.

Potencjalne konsekwencje dla ofiar

Wyciek danych z platformy edukacyjnej może mieć poważne konsekwencje dla osób dotkniętych incydentem. Obejmują one:

• Kradzież tożsamości – dane osobowe mogą zostać wykorzystane do podszywania się pod ofiary.
• Ataki phishingowe – oszuści mogą wysyłać fałszywe wiadomości, podszywając się pod platformę Canvas.
• Utrata prywatności – dane uczniów i nauczycieli mogą zostać upublicznione lub sprzedane na czarnym rynku.
• Problemy operacyjne – szkoły mogą doświadczyć zakłóceń w funkcjonowaniu platformy lub konieczności jej tymczasowego wyłączenia.

Reakcja Canvas i zalecenia dla użytkowników

Instructure, firma stojąca za platformą Canvas, nie potwierdziła jeszcze skali incydentu, ale poinformowała, że prowadzi dochodzenie w sprawie naruszenia. W międzyczasie zaleca się użytkownikom podjęcie następujących działań:

• Zmiana hasła do konta Canvas oraz innych platform, gdzie używane było to samo hasło.
• Aktywacja dwuskładnikowego uwierzytelniania (2FA), jeśli nie zostało ono jeszcze włączone.
• Monitorowanie aktywności na koncie w celu wykrycia podejrzanych działań.
• Ostrożność wobec podejrzanych wiadomości e-mail lub połączeń, które mogą być próbami phishingu.

Czy to największy atak na systemy edukacyjne?

Incydent z udziałem ShinyHunters nie jest pierwszym atakiem na platformy edukacyjne w ostatnich latach. W 2020 roku grupa ta przeprowadziła atak na systemy Blackbaud, skutkujący wyciekiem danych z ponad 60 instytucji edukacyjnych i non-profit. Warto jednak podkreślić, że skala obecnego ataku na Canvas może być znacznie większa, biorąc pod uwagę liczbę dotkniętych szkół.

„Wycieki danych z platform edukacyjnych są coraz częstsze, a grupy hakerskie coraz śmielej atakują systemy, które powinny być szczególnie chronione. Szkoły muszą priorytetowo traktować kwestie cyberbezpieczeństwa, aby chronić dane swoich uczniów i pracowników.”
— Ekspert ds. cyberbezpieczeństwa, cytowany przez CyberScoop

ShinyHunters nie jest jedyną grupą, która celuje w systemy edukacyjne. W ostatnich miesiącach wzrosła liczba ataków ransomware na szkoły i uniwersytety, co skłania instytucje do inwestowania w nowoczesne rozwiązania zabezpieczające.