Конгресс США требует объяснений от Instructure после взломов Canvas

Комитет Палаты представителей США по внутренней безопасности запросил у Instructure подробности двух киберинцидентов, затронувших Canvas — одну из самых популярных образовательных платформ для школ, колледжей и университетов. Письмо отправил председатель комитета Эндрю Гарбаринo. Законодатели хотят получить информацию о масштабе утечки, действиях компании после первого взлома и мерах, которые должны снизить риск новых атак.

Canvas используют для домашних заданий, лекций, экзаменов, оценок и сообщений между преподавателями и студентами. Второй эпизод пришёлся на период финальных экзаменов и дедлайнов в учебных заведениях США, когда доступ к платформе был критичен для студентов и преподавателей.

Ответственность взяла на себя группа ShinyHunters. Она заявила, что получила данные почти 9 тыс. учебных организаций и сотен миллионов пользователей. Масштаб пока остаётся предметом расследования: Instructure подтвердила сам факт инцидента и часть типов затронутых данных, но не подтвердила все цифры вымогателей.

Первый инцидент Instructure выявила в конце апреля. Компания сообщила клиентам, что злоумышленники получили доступ к данным пользователей Canvas. В публичных материалах фигурируют имена, адреса электронной почты, студенческие идентификаторы и сообщения внутри платформы. Компания заявила, что не нашла признаков компрометации паролей, дат рождения, государственных идентификаторов и финансовой информации.

3 мая ShinyHunters заявила о взломе и начала давить на компанию через сайт утечек. Позже группа утверждала, что получила около 280 млн записей от 8 809 колледжей, школьных округов и онлайн-образовательных платформ. TechCrunch изучал образцы данных, переданные представителем ShinyHunters: в них были имена, email-адреса, часть телефонных номеров и сообщения, но не было паролей или финансовых данных. 

7 мая произошёл второй эпизод. Страницы входа Canvas у ряда школ и университетов были подменены сообщением ShinyHunters с требованием к Instructure вступить в переговоры. Из-за этого учебные заведения временно ограничивали доступ к платформе, переносили дедлайны и предупреждали студентов о риске мошеннических писем.

Комитет просит Instructure объяснить природу взлома, объём скомпрометированной информации, ход реагирования и меры против повторения атак.

Гарбаринo отдельно указал, что ShinyHunters якобы дважды получила доступ к системам Instructure за одну неделю: сначала к персональным данным студентов и сотрудников, затем к страницам входа Canvas. Комитет также упомянул сообщения о сбоях в Калифорнии, Флориде, Джорджии, Оклахоме, Орегоне, Неваде, Северной Каролине, Теннесси, Юте, Вирджинии и Висконсине.

После угроз публикации Instructure заявила, что достигла соглашения с неавторизованным участником инцидента. Компания сообщила о возврате данных и получении «цифрового подтверждения» удаления оставшихся копий в виде shred logs. Условия сделки не раскрыты; Instructure не указала, был ли платёж.

Instructure признала, что полной уверенности в окончательном удалении данных быть не может. Бывший заместитель директора киберподразделения ФБР Синтия Кайзер, ныне работающая в Halcyon, заявила AP, что платёж не прекращает угрозу: украденные данные могут использоваться против клиентов и пользователей, пока это приносит выгоду.

Комитет хочет получить не пресс-релиз, а техническую картину. Отдельный блок вопросов неизбежно касается архитектуры доступа. Если проблема действительно была связана с админскими сессиями и XSS, важны настройки изоляции клиентов, права администраторов, защита страниц входа, контроль изменений интерфейса, журналирование и скорость отзыва сессий.