نواب أمريكيون يضغطون على Instructure بسبب هجمات Canvas الإلكترونية التي عطلت المدارس
يكثف النواب الأمريكيون الضغط على Instructure بعد هجومين على منصة Canvas التعليمية، تسببا في تسريب بيانات الطلاب وتعطيل المدارس خلال فترة الامتحانات النهائية. في رسالة أُرسلت هذا الأسبوع، طلبت لجنة الأمن الداخلي بمجلس النواب من الشركة إطلاع الكونغرس بحلول 21 مايو على تفاصيل الحادث، وكيفية احتواء الاختراقات، والتنسيق مع الوكالات الفيدرالية.
هذا الأمر مهم لأن Canvas تُعد بنية تحتية أساسية للكليات والمناطق التعليمية والبرامج عبر الإنترنت. أي اختراق لنظام إدارة التعلم لا يخلق خطرًا على الخصوصية فحسب، بل قد يعطل الامتحانات والمهام الدراسية والتواصل بين المعلمين والطلاب، وسير العمل الإداري في أسوأ توقيت من العام الأكاديمي.
وفقًا لـ BleepingComputer التي كشفت أجزاء رئيسية من الحادث أولاً، قالت Instructure إنها رصدت الاختراق الأول في 29 أبريل، وأكدت لاحقًا أن المهاجمين سرقوا الأسماء وعناوين البريد الإلكتروني وأرقام هوية الطلاب والرسائل المتبادلة بين الطلاب والمعلمين. وأوضحت الشركة أن كلمات المرور والبيانات المالية والمعرفات الحكومية لم تكن ضمن البيانات المسربة. زعمت مجموعة ShinyHunters أنها سرقت 280 مليون سجل من 8,809 مدارس وكليات ومنصات تعليمية، لكن هذا الرقم ورد من المهاجمين ويجب التعامل معه بحذر حتى يتم التحقق منه بشكل مستقل.
المرحلة الثانية من الهجوم بدت وكأنها رفعت المخاطر على المنظمين. أفاد المهاجمون بتشويه بوابات تسجيل الدخول إلى Canvas في مؤسسات عبر عدة ولايات، ونشروا رسائل ابتزاز، مما اضطر بعض المدارس إلى إلغاء الامتحانات. وأفادت BleepingComputer أيضًا أن المهاجمين استغلوا ثغرات متعددة من نوع Cross-Site Scripting لاختطاف جلسات المشرفين المُوثَّقة وتعديل صفحات تسجيل الدخول. قالت لجنة الأمن الداخلي إن مدارس في كاليفورنيا وفلوريدا وجورجيا وأوكلاهوما وأوريغون ونيفادا ونورث كارولاينا وتينيسي ويوتا وفيرجينيا وويسكونسن أبلغت عن اضطرابات ذات صلة.
الطلب الكونغرسي للإدلاء بشهادات يحوّل هذا الأمر من مجرد اختراق كبير في قطاع التعليم إلى قصة مساءلة أوسع. إذا استنتج المحققون الفيدراليون أن استجابة Instructure أو أمان منصتها كانا غير كافيين، فقد يمتد التداعيات إلى ما هو أبعد من إخطارات الاختراق، ليشمل مراجعات المشتريات الحكومية، وضغوطًا تنظيمية، وتوقعات أمنية أكثر صرامة للبرمجيات التي تستخدمها المؤسسات العامة. كما أفادت BleepingComputer أولاً، توصلت Instructure منذ ذلك الحين إلى اتفاق يهدف إلى وقف تسريب البيانات المسروقة علنًا، رغم أن الشركة لم تذكر صراحة ما إذا تم دفع فدية.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source