Компания Instructure, разработчик образовательной платформы Canvas, сообщила о соглашении с неизвестным злоумышленником после крупного инцидента безопасности. Canvas используют школы, колледжи и университеты для учебных курсов, домашних заданий, оценок, переписки и работы преподавателей со студентами. Атака затронула тысячи учебных организаций и совпала с периодом экзаменов в США, из-за чего часть учреждений временно потеряла доступ к привычной учебной инфраструктуре.
Инцидент связан с группой ShinyHunters. Участники этой вымогательской экосистемы заявили, что получили данные из Canvas и опубликовали список из 8 809 учебных организаций, которые якобы могли попасть под удар. Они также утверждали, что речь идёт примерно о 280 млн записей студентов, преподавателей и сотрудников. BleepingComputer указал, что не стал называть конкретные организации из списка, потому что не смог независимо подтвердить их участие в инциденте.
Instructure подтвердила сам факт инцидента и раскрыла типы данных, которые могли быть затронуты. В статус-обновлении компания указала имена, адреса электронной почты, студенческие идентификаторы и сообщения между пользователями. Признаков доступа к паролям, датам рождения, государственным идентификаторам и финансовым данным на тот момент не нашли.
11 мая CEO Instructure Стив Дейли сообщил клиентам, что компания достигла соглашения с «неавторизованным актором», связанным с инцидентом. Cyber Daily пишет, что Instructure получила заверения: похищенные данные возвращены, на стороне злоумышленников они якобы «уничтожены», а клиенты компании не будут подвергаться дальнейшему вымогательству публично или напрямую.
Сумму прямо не назвали и не сказали, была ли выплата вообще. Но другую причину, как удалось уговорить вымогателей, представить сложно. Также в подобных сделках нельзя получить полную уверенность, что данные удалены. Это лишь обещание со стороны вымогателей, а не проверенным техническим фактом.
Но если база уже была выгружена, пострадавшая компания не может технически доказать, что у преступников не осталось копий. Поэтому даже после соглашения между Instructure и злоумышленниками стоит ждать фишинга, поддельных писем от имени учебных заведений и попыток использовать украденные контактные данные.
Instructure начала публиковать обновления по инциденту 1 мая. 6 мая компания сообщила, что инцидент, по текущим данным расследования, локализован. Среди принятых мер были отзыв привилегированных учётных данных и токенов доступа, установка исправлений, ротация части ключей и усиленный мониторинг всех платформ.
7–8 мая ситуация вышла за пределы обычного уведомления о взломе. WIRED писал, что Canvas переводили в режим обслуживания, а некоторые школы столкнулись с перебоями в доступе к платформе. Материал также указывает на сообщения о второй волне давления: злоумышленники меняли страницы входа отдельных учебных заведений и размещали там вымогательские сообщения.
Позже Instructure опубликовала журнал изменений, связанных с майским инцидентом. Среди мер — усиление авторизации для сотрудников Instructure, ограничения для изменения настроек Theme Editor и Content Security Policy, изменения в управлении ключами разработчика и обновления API. Отдельно компания закрыла видимость секретов API-ключей в интерфейсе после создания: администраторы теперь могут перевыпускать ключи, но не просматривать старые секреты в UI.
Подтверждённый Instructure набор данных выглядит так: имена, электронные адреса, студенческие ID и сообщения пользователей. В более позднем заявлении CEO компании также упоминал имена пользователей, названия курсов, сведения о зачислении на курсы и переписку. При этом он заявил, что учебные работы и учётные данные остались защищены.
ShinyHunters заявляли о более крупном объёме: сотни миллионов записей, сообщения и данные о зачислениях. Они утверждали, что использовали функции экспорта Canvas, включая DAP-запросы, provisioning reports и пользовательские API. Эти заявления остаются заявлениями преступников: часть деталей совпадает с типами данных, которые признала Instructure, но полный масштаб всё ещё требует независимой проверки.
ShinyHunters — не классическая шифровальная группа в старом смысле. Их модель ближе к вымогательству через кражу данных: получить доступ, выгрузить массив информации, затем давить на компанию угрозой публикации. Такая схема особенно болезненна для образования, потому что в учебных системах хранятся данные несовершеннолетних, студентов, преподавателей, переписка, курсы и административные записи.
Отдельную опасность создаёт публичное давление. В этом инциденте злоумышленники, как сообщалось, не ограничились закрытым шантажом Instructure: они также размещали сообщения на страницах входа некоторых Canvas-порталов. Для школ это удар не только по безопасности, но и по доверию: пользователи видят взлом прямо на учебной платформе, через которую сдают задания и получают оценки.
Администраторам Canvas стоит проверить журналы доступа, активность API, developer keys, интеграции, внешние приложения, токены и роли с повышенными правами. Instructure уже рекомендовала клиентам включать многофакторную аутентификацию для привилегированных аккаунтов, пересмотреть административный доступ и ротировать API-токены или ключи там, где это применимо.
Пользователям стоит относиться к письмам «от университета», «от Canvas», «от поддержки» и «от преподавателя» осторожнее обычного. Если в утечке действительно были имена, адреса почты, ID и названия курсов, злоумышленники могут делать убедительные фишинговые письма: например, про пересдачу, восстановление доступа, срочную проверку аккаунта или обновление платёжных данных.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
