Перейти к содержимому
IT и стартапы

Конгресс США расследует двойной взлом Canvas: данные миллионов студентов похищены

Комитет по внутренней безопасности потребовал от Instructure объяснений после того, как хакеры дважды взломали платформу, используя одну и ту же уязвимость.

Казакевич Алексей
5 мин
Конгресс США расследует двойной взлом Canvas: данные миллионов студентов похищены
Содержание
  1. Одна уязвимость — два взлома
  2. Компания заплатила выкуп — и это проблема
  3. Почему это важно за пределами США

Американский производитель образовательного ПО Instructure оказался в центре парламентского расследования после того, как хакеры дважды взломали его системы и похитили персональные данные миллионов студентов по всему миру. Комитет Палаты представителей по внутренней безопасности направил письмо генеральному директору компании Стиву Дэли с требованием дать подробные объяснения об инцидентах. К расследованию подключилось федеральное агентство кибербезопасности CISA.

Одна уязвимость — два взлома

Instructure разрабатывает Canvas — одну из наиболее распространённых в мире платформ для управления учебным процессом. Именно через неё хакеры из группы ShinyHunters дважды получили несанкционированный доступ к данным, причём оба раза эксплуатировали одну и ту же уязвимость в системе.

Помимо кражи данных, злоумышленники дефейсили страницы входа учебных заведений — то есть подменяли их содержимое. Это означает, что компания не устранила брешь после первого инцидента, что и позволило атаке повториться.

Председатель комитета, конгрессмен Эндрю Гарбарино, в своём письме прямо указал: повторный взлом теми же хакерами «ставит серьёзные вопросы о способности компании реагировать на инциденты и о её обязательствах перед учреждениями и людьми, чьи данные она хранит».

««Масштаб и хронология взлома Instructure, а также очевидная неспособность крупного поставщика образовательных технологий нейтрализовать угрозу после первоначального вторжения — именно такие системные уязвимости входят в сферу ответственности нашего комитета», — написал Гарбарино.»

Компания заплатила выкуп — и это проблема

Instructure подтвердила, что «достигла соглашения» с хакерами. По имеющимся данным, злоумышленники предоставили доказательства удаления похищенных данных. Представитель ShinyHunters сообщил изданию TechCrunch, что группа не будет продолжать вымогательство, однако отказался раскрыть сумму выкупа.

Эксперты по кибербезопасности давно предупреждают: выплата выкупа финансирует будущие атаки и не даёт никаких гарантий. Хакеры нередко сохраняют копии похищенных данных даже после заявлений об их уничтожении — чтобы использовать их для повторного шантажа.

Комитет хочет выяснить не только технические детали взломов, но и то, как компания уведомляла пострадавшие учебные заведения и насколько эффективно взаимодействовала с CISA. Законодатели запросили закрытый брифинг с участием Дэли или другого топ-менеджера, ответственного за кибербезопасность.

Instructure пока не ответила на запрос комитета и не подтвердила готовность участвовать в брифинге. Пресс-служба компании также проигнорировала запрос TechCrunch.

Почему это важно за пределами США

Canvas используется тысячами университетов и школ по всему миру, включая учебные заведения в странах СНГ. Белорусские вузы, подключённые к платформе напрямую или через партнёрские программы, теоретически могут входить в число пострадавших — хотя публичных подтверждений этому пока нет.

Для белорусского IT-сообщества этот кейс показателен по другой причине. Компании, работающие с персональными данными пользователей — будь то edtech, fintech или SaaS-платформы, — несут репутационные и регуляторные риски не только в момент утечки, но и в случае неадекватного реагирования на инцидент. Именно «неспособность локализовать угрозу после первого вторжения» стала главным поводом для парламентского расследования, а не сам факт взлома.

История Instructure также демонстрирует риски стратегии выплаты выкупа: компания, судя по всему, предпочла откупиться вместо того, чтобы публично раскрыть масштаб ущерба и провести полноценный аудит безопасности. Это решение теперь обернулось куда более серьёзными репутационными и регуляторными последствиями, чем мог бы принести первоначальный инцидент.

Расследование комитета продолжается. Его итоги могут повлиять на требования к кибербезопасности для всех поставщиков ПО, работающих с государственными и образовательными учреждениями США.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.

ПоделитьсяVK

Свежие новости

Все новости