Тысячи учебных заведений по всему миру, включая Канаду, пострадали от масштабного инцидента в сфере кибербезопасности. Атака была направлена на Canvas — популярную систему управления обучением, объединяющую миллионы студентов и преподавателей.

В числе пострадавших оказались канадские вузы, включая Университет Торонто (University of Toronto), Университет Британской Колумбии (UBC), Альбертский университет (University of Alberta), а также бизнес-школу Ivey при Западном университете (Western University).

Какие данные оказались под угрозой?

В университетах, колледжах и некоторых школах преподаватели используют платформу Canvas для обмена учебными материалами: от конспектов лекций и домашних заданий до медиафайлов и экзаменов. Система также служит для общения, выставления оценок и публикации новостей.

По данным компании Instructure, разработчика Canvas, злоумышленники могли получить доступ к полным именам, адресам электронной почты, номерам студенческих билетов и личным сообщениям пользователей.

Представители компании сообщили, что обнаружили несанкционированную активность 29 апреля — доступ был получен через учетную запись преподавателя определенного типа. Несмотря на то, что доступ немедленно заблокировали, в четверг платформу пришлось временно отключить для проведения расследования из-за выявления новой подозрительной активности.

В Instructure подчеркивают, что пока нет доказательств утечки паролей, финансовой информации или данных государственных удостоверений личности.

Как хакеры могут использовать эту информацию?

По словам Люка Коннолли, аналитика по киберугрозам из оттавской компании Emsisoft, инцидент вызывает серьезные опасения, поскольку «существует множество способов использовать эту информацию в преступных целях».

С точки зрения хакеров, учебные заведения — идеальная цель. Студенты «находятся в самом начале своего финансового пути» и еще не имеют крупных кредитов или долгов, отмечает Роберт Фальзон, глава инженерного отдела Check Point Software в Канаде.

Учитывая многочисленные утечки в различных секторах за последние годы, Фальзон предупреждает: информация из Canvas может быть объединена с данными из других баз для создания фальшивых профилей.

«Эти личности, в свою очередь, могут быть использованы для получения кредитов, оформления ипотеки или других финансовых преступлений», — добавил эксперт.

По его словам, в некоторых случаях у человека могут уйти годы на то, чтобы обнаружить, что он стал жертвой мошенников.

Кто стоит за атакой?

Ответственность за кибератаку взяла на себя хакерская группировка ShinyHunters. Злоумышленники утверждают, что в их распоряжении оказались личные данные 275 миллионов человек, включая студентов, преподавателей и сотрудников учебных заведений.

Группировка, которая ранее была причастна к масштабным взломам Ticketmaster и базы данных Salesforce корпорации Google, угрожает опубликовать украденную информацию, если не получит некую сумму в качестве «выкупа».

Реакция студентов

Поскольку во многих американских колледжах сейчас проходит сессия, студенты массово делились в TikTok скриншотами сообщения от ShinyHunters, которое появлялось при попытке войти в Canvas.

В Канаде, где большинство университетов только что завершили период весенних экзаменов, студенты были сбиты с толку инцидентом. Многие успели зайти в систему по привычке, прежде чем увидели электронные письма от администраций вузов с призывом не делать этого.

«Утром я зашла на платформу чисто на автомате, — рассказывает Дебора Элезай, студентка Университета Торонто. — А теперь нам говорят сменить пароли».

Мысль о том, что личные данные могли попасть в руки хакеров, «действительно заставляет понервничать», добавляет ее сокурсница Эмили Сасо.

Что предпринимают университеты?

Некоторые из пострадавших вузов приостановили работу с Canvas или рекомендовали пока не пользоваться системой. Другие учебные заведения уже вернулись к работе на восстановленной платформе. Большинство университетов разослали студентам предупреждения с просьбой остерегаться подозрительных писем.

«Мы призываем преподавателей, сотрудников и студентов сохранять бдительность в отношении фишинговых писем, — говорилось в заявлении Университета Торонто. — Помните, что университет никогда не попросит вас обойти многофакторную аутентификацию (MFA). Если вы получили письмо с запросом кодов доступа, немедленно сообщите об этом».

По словам генерального директора компании Beauceron Security Дэвида Шипли, учебные заведения оказались в «ужасном положении». «Они зависят от подрядчика, который предоставляет цифровые услуги, поскольку сами университеты не могут позволить себе разработку и поддержку подобных систем», — поясняет Шипли.

Эксперт Люк Коннолли предостерегает учебные заведения от выплаты выкупа хакерам. По его мнению, это спровоцирует «эффект домино»: «Это только мотивирует преступников искать новых жертв, а выплаченные деньги идут на финансирование разработки новых методов атак».

Кто несет ответственность за безопасность?

Кибербезопасность — это «общая проблема», считает Роберт Фальзон. По его словам, учебные заведения «обязаны убедиться, что используют лучшие из доступных инструментов, следуют протоколам и защищают своих студентов». В то же время сторонние поставщики программного обеспечения «несут ответственность за безопасность предоставляемых ими услуг».

Проводить аудит безопасности лишь время от времени больше недостаточно, поскольку сейчас взломы «происходят ежедневно», предупреждает Фальзон: «Нам нужно серьезно подумать о сокращении интервалов между проверками и о том, как лучше информировать общество, чтобы каждый понимал свои риски и знал, как помочь в решении проблемы».

Дэвид Шипли, в свою очередь, выступает за ужесточение федеральных законов о защите личных данных и введение серьезных последствий для компаний, допустивших утечку — по аналогии с крупными штрафами в Европе. «Компании, которые знают о реальной угрозе санкций, будут лучше управлять рисками, — уверен он. — Без последствий частный бизнес, ориентированный на прибыль, просто будет зарабатывать деньги, экономя на безопасности».

Как защитить свои данные?

Студенты и преподаватели находятся в сложном положении: они не могут выбирать программное обеспечение для своих вузов и не имеют возможности отказаться от его использования, констатирует Фальзон.

Тем не менее, эксперт настоятельно рекомендует регулярно менять пароли, включить многофакторную аутентификацию (если это еще не сделано), а также уведомить свой банк в случае возможной компрометации данных и подключить услугу мониторинга кредитной истории.

Кроме того, пользователям следует пересмотреть объем личной информации, которой они делятся в социальных сетях. «Это касается того, где вы живете, на каких курсах учитесь и тому подобных деталей», — заключает он.