AIO APEX
Security

فشار نمایندگان کنگره آمریکا به Instructure به خاطر حملات سایبری Canvas که مدارس را مختل کرد

BleepingComputer
اشتراک‌گذاری:
فشار نمایندگان کنگره آمریکا به Instructure به خاطر حملات سایبری Canvas که مدارس را مختل کرد

نمایندگان کنگره آمریکا فشار خود را روی Instructure افزایش داده‌اند؛ پس از دو حمله به پلتفرم آموزشی Canvas که منجر به افشای اطلاعات دانش‌آموزان و اختلال در امتحانات نهایی شد. در نامه‌ای که این هفته ارسال شد، کمیته امنیت داخلی مجلس از این شرکت خواسته تا تا ۲۱ می کنگره را در جریان جزئیات حادثه، نحوه مهار نفوذها و هماهنگی با آژانس‌های فدرال قرار دهد.

این موضوع مهم است چون Canvas زیرساخت اصلی کالج‌ها، مناطق آموزشی و برنامه‌های آنلاین محسوب می‌شود. یک نفوذ در سیستم مدیریت یادگیری فقط ریسک حریم خصوصی ایجاد نمی‌کند؛ بلکه می‌تواند امتحانات، تکالیف درسی، ارتباط معلم و دانش‌آموز و فرآیندهای اداری را در بدترین زمان ممکن از سال تحصیلی مختل کند.

به گزارش BleepingComputer که اولین بار بخش‌های کلیدی این حادثه را گزارش کرد، Instructure اعلام کرد نفوذ اولیه را در ۲۹ آوریل شناسایی کرده و بعداً تأیید کرد که مهاجمان نام‌ها، آدرس‌های ایمیل، شماره‌های دانش‌آموزی و پیام‌های مبادله شده بین دانش‌آموزان و معلمان را به سرقت برده‌اند. این شرکت گفت رمزهای عبور، اطلاعات مالی و شناسه‌های دولتی در مجموعه داده‌های افشا شده نبوده است. گروه ShinyHunters ادعا کرده ۲۸۰ میلیون رکورد از ۸,۸۰۹ مدرسه، کالج و پلتفرم آموزشی را دزدیده است، اما این رقم از سوی مهاجمان مطرح شده و تا زمان تأیید مستقل باید با احتیاط با آن برخورد کرد.

فاز دوم این حملات ظاهراً سطح تهدید را برای نهادهای نظارتی بالا برده است. گفته می‌شود مهاجمان پورتال‌های ورود Canvas را در چندین ایالت تخریب کرده، پیام‌های اخاذی منتشر کرده و برخی مدارس را مجبور به لغو امتحانات کرده‌اند. BleepingComputer همچنین گزارش داد که مهاجمان از چندین آسیب‌پذیری cross-site scripting برای ربودن جلسات احراز هویت شده ادمین و تغییر صفحات ورود استفاده کرده‌اند. کمیته امنیت داخلی اعلام کرد مدارس در کالیفرنیا، فلوریدا، جورجیا، اوکلاهاما، اورگان، نوادا، کارولینای شمالی، تنسی، یوتا، ویرجینیا و ویسکانسین اختلالات مرتبط را گزارش کرده‌اند.

درخواست کنگره برای شهادت، این ماجرا را از یک نفوذ بزرگ در بخش آموزش به یک داستان پاسخگویی گسترده‌تر تبدیل می‌کند. اگر محققان فدرال به این نتیجه برسند که واکنش یا امنیت پلتفرم Instructure ناکافی بوده، تبعات می‌تواند فراتر از اعلام نقض داده‌ها به بازبینی‌های تدارکاتی، فشار نظارتی و انتظارات امنیتی سخت‌گیرانه‌تر برای نرم‌افزارهای مورد استفاده نهادهای عمومی گسترش یابد. همانطور که ابتدا BleepingComputer گزارش داد، Instructure از آن زمان به توافقی دست یافته که هدف آن جلوگیری از نشت عمومی داده‌های دزدیده شده است، هرچند این شرکت مستقیماً نگفته که آیا باج پرداخت شده است یا نه.

cybersecuritydata-breachshinyhunterscanvasinstructureeducation-technology

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
اشتراک‌گذاری: