Instructure dans le viseur des parlementaires américains après les cyberattaques Canvas qui perturbent les écoles
Les parlementaires américains intensifient leur examen d'Instructure après deux attaques contre sa plateforme d'apprentissage Canvas qui ont exposé des données d'étudiants et perturbé les écoles pendant les examens finaux. Dans une lettre envoyée cette semaine, la commission de la sécurité intérieure de la Chambre a demandé à l'entreprise de faire un point au Congrès d'ici le 21 mai sur ce qui s'est passé, comment les intrusions ont été contenues, et comment Instructure coordonne avec les agences fédérales.
C'est important car Canvas est une infrastructure essentielle pour les universités, les districts scolaires et les programmes en ligne. Une brèche dans un système de gestion de l'apprentissage ne crée pas seulement un risque pour la vie privée. Elle peut aussi interrompre les examens, les cours, la communication entre élèves et enseignants, et les flux de travail administratifs au pire moment possible du calendrier académique.
Selon BleepingComputer, qui a rapporté les premières informations clés sur l'incident, Instructure a indiqué avoir détecté l'intrusion initiale le 29 avril et confirmé plus tard que les attaquants avaient volé des noms, adresses e-mail, numéros d'identification des étudiants et messages échangés entre élèves et enseignants. L'entreprise a précisé que les mots de passe, les données financières et les identifiants gouvernementaux ne faisaient pas partie des données exposées. ShinyHunters a affirmé avoir volé 280 millions d'enregistrements provenant de 8 809 écoles, universités et plateformes éducatives, mais ce chiffre émane des attaquants et doit être pris avec prudence jusqu'à vérification indépendante.
La deuxième phase de la campagne semble avoir intensifié les enjeux pour les régulateurs. Les attaquants auraient dégradé les portails de connexion Canvas d'institutions dans plusieurs États, publiant des messages d'extorsion et forçant certaines écoles à annuler des examens. BleepingComputer a également rapporté que les attaquants ont utilisé plusieurs vulnérabilités de cross-site scripting pour détourner des sessions administrateur authentifiées et modifier les pages de connexion. La commission de la sécurité intérieure a indiqué que des écoles en Californie, Floride, Géorgie, Oklahoma, Oregon, Nevada, Caroline du Nord, Tennessee, Utah, Virginie et Wisconsin ont signalé des perturbations liées.
La demande de témoignage du Congrès transforme cette affaire d'une simple brèche dans le secteur éducatif en une histoire plus large de responsabilité. Si les enquêteurs fédéraux concluent que la réponse d'Instructure ou la sécurité de sa plateforme était insuffisante, les répercussions pourraient aller au-delà des notifications de brèche, avec des examens des marchés publics, des pressions réglementaires et des exigences de sécurité plus strictes pour les logiciels utilisés par les institutions publiques. Comme l'a rapporté BleepingComputer en premier, Instructure a depuis conclu un accord visant à stopper la fuite publique des données volées, bien que l'entreprise n'ait pas directement indiqué si une rançon a été payée.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source