Νέα μεγάλη κυβερνοεπίθεση στην ed-tech Instructure εκθέτει προσωπικά δεδομένα μαθητών, εκπαιδευτικών και σχολείων διεθνώς. Την ευθύνη αναλαμβάνει η διαβόητη ομάδα ShinyHunters.
Σε ακόμη ένα ηχηρό πλήγμα για την ασφάλεια των εκπαιδευτικών πλατφορμών, η αμερικανική Instructure, πάροχος του δημοφιλούς συστήματος διαχείρισης μάθησης Canvas, επιβεβαίωσε σοβαρή διαρροή δεδομένων που αφορά ευαίσθητες πληροφορίες μαθητών. Την επίθεση και την απόπειρα εκβιασμού υπογράφει η γνωστή κυβερνοσυμμορία ShinyHunters.
Τι εκλάπη και ποιοι φαίνεται να επηρεάζονται
Σύμφωνα με όσα έχουν γίνει γνωστά, οι δράστες απέκτησαν πρόσβαση σε ονόματα μαθητών, προσωπικές διευθύνσεις email και μηνύματα που αντηλλάγησαν μεταξύ εκπαιδευτικών και μαθητών μέσω της πλατφόρμας. Δείγμα των δεδομένων που μοιράστηκε η ομάδα με δημοσιογραφική πηγή επιβεβαιώνει ότι περιλαμβάνονται και αριθμοί τηλεφώνου σε ορισμένες περιπτώσεις.
Στο δείγμα περιλαμβάνονται στοιχεία από δύο σχολεία στις ΗΠΑ, στη Μασαχουσέτη και στο Τενεσί, χωρίς ωστόσο να κατονομάζονται, καθώς δεν έχουν επισήμως αναγνωριστεί ως θύματα. Και τα δύο εμφανίζονται να χρησιμοποιούν το Canvas για διαχείριση μαθημάτων, εργασιών και επικοινωνία με τους μαθητές. Η Instructure υποστηρίζει ότι κωδικοί πρόσβασης και άλλα ευαίσθητα δεδομένα δεν επηρεάστηκαν.
Οι ShinyHunters ισχυρίζονται ότι η παραβίαση αφορά σχεδόν 9.000 σχολεία παγκοσμίως και δεδομένα 275 εκατ. ατόμων – μαθητών, καθηγητών και διοικητικού προσωπικού – με περίπου 231 εκατ. μοναδικές διευθύνσεις email. Αν και τέτοιοι αριθμοί συχνά διογκώνονται για λόγους πίεσης, η κλίμακα παραμένει ανησυχητική, ιδίως επειδή η ίδια η Instructure δηλώνει ότι εξυπηρετεί πάνω από 8.000 εκπαιδευτικά ιδρύματα.
Πλήγμα εμπιστοσύνης για την ψηφιακή εκπαίδευση
Η Instructure εντάσσεται σε μια αυξανόμενη λίστα οργανισμών – από πανεπιστήμια μέχρι παρόχους cloud βάσεων δεδομένων – που έχουν βρεθεί στο στόχαστρο της ίδιας ομάδας τους τελευταίους μήνες. Η εταιρεία περιορίζεται σε σύντομες ενημερώσεις μέσω ειδικής σελίδας κατάστασης, χωρίς να απαντά σε κρίσιμα ερωτήματα για το πώς συνέβη η παραβίαση και ποια μέτρα λαμβάνονται για τους χρήστες.
Για τα εκπαιδευτικά ιδρύματα διεθνώς, συμπεριλαμβανομένων όσων στην Ελλάδα χρησιμοποιούν ξένες πλατφόρμες, το περιστατικό λειτουργεί ως καμπανάκι κινδύνου: η συγκέντρωση τεράστιων όγκων παιδικών και εφηβικών δεδομένων σε λίγες ιδιωτικές ed-tech εταιρείες δημιουργεί ένα εξαιρετικά ελκυστικό στόχο για κυβερνοεγκληματίες. Η προστασία δεδομένων ανηλίκων, η κρυπτογράφηση της επικοινωνίας και οι σαφείς διαδικασίες ενημέρωσης και αποζημίωσης σε περίπτωση παραβίασης αναδεικνύονται πλέον σε κεντρικό κριτήριο επιλογής ψηφιακών εργαλείων στην εκπαίδευση.
Σχόλιο 
: Η υπόθεση Instructure δείχνει ότι η ψηφιοποίηση της εκπαίδευσης χωρίς αυστηρή κυβερνοασφάλεια μετατρέπει τους μαθητές στο πιο ευάλωτο «ψηφιακό κεφάλαιο». Οι ρυθμιστικές αρχές, αλλά και τα ίδια τα σχολεία, οφείλουν να απαιτήσουν διαφάνεια, ανεξάρτητους ελέγχους ασφαλείας και ρήτρες ευθύνης από τους παρόχους, πριν οι διαρροές δεδομένων γίνουν ο κανόνας αντί για την εξαίρεση.
#κυβερνοεπίθεση #διαρροήΔεδομένων #Instructure #ShinyHunters #εκπαίδευση #κυβερνοασφάλεια
