Il proprietario di Canvas, Instructure, ha confermato di aver pagato gli hacker dopo il massiccio attacco informatico che ha interrotto scuole e università durante la settimana degli esami finali e ha esposto preoccupazioni riguardo a potenziali dati degli studenti rubati.
L’attacco, rivendicato dal gruppo di criminalità informatica ShinyHunters, ha causato interruzioni diffuse sulla piattaforma di gestione dell’apprendimento Canvas all’inizio di questo mese, bloccando studenti e insegnanti all’accesso a compiti, compiti, materiali per lezioni ed esami in migliaia di istituzioni in tutto il mondo.
In un public statement , Instructure ha riconosciuto di aver avviato negoziati con gli aggressori e di aver infine pagato la richiesta di riscatto nel tentativo di impedire la pubblicazione di dati rubati. L’azienda ha dichiarato che la decisione è stata presa dopo aver consultato esperti di cybersecurity e forze dell’ordine.
L’azienda non ha reso pubblici quanto somma sia stata pagata né se gli aggressori abbiano fornito prove che i dati rubati siano stati cancellati successivamente.
La violazione colpì uno dei peggiori momenti possibili per le istituzioni educative, avvenendo durante gli esami finali e la stagione delle lauree. Studenti in Nord America, Europa, Australia e Asia hanno riferito di non poter accedere ai materiali di studio, consegnare compiti o completare valutazioni, poiché le scuole hanno temporaneamente disabilitato l’accesso a Canvas durante l’incidente.
Diverse università hanno ritardato gli esami o prolungato le scadenze dopo che l’interruzione ha interrotto i sistemi di corsi. Alcune istituzioni hanno completamente scollegato Canvas dalle reti interne mentre indagavano sulla possibile esposizione di dati di studenti e personale.
ShinyHunters ha affermato che l’attacco ha colpito quasi 9.000 scuole e ha rivelato dati legati a circa 275 milioni di utenti in tutto il mondo. Secondo il gruppo, le informazioni rubate includevano nomi, indirizzi email, numeri di tessera studentesca e miliardi di messaggi privati scambiati tramite i sistemi Canvas.
In precedenza Instructure aveva affermato che non c’erano prove che password, informazioni finanziarie, numeri di previdenza sociale o identificatori rilasciati dal governo fossero stati compromessi. L’azienda ha attribuito la violazione a problemi legati agli account “Free-For-Teacher” collegati alla piattaforma.
Durante l’incidente, alcuni utenti che tentavano di accedere a Canvas sarebbero stati reindirizzati a messaggi di riscatto pubblicati da ShinyHunters che chiedevano negoziazioni prima della scadenza per la fuga di notizie. Gli aggressori minacciarono di rendere pubblici i dati rubati se non fosse stato effettuato il pagamento.
La decisione di pagare gli hacker probabilmente scatenerà dibattiti tra esperti e docenti della cybersecurity. Le forze dell’ordine generalmente scoraggiano il pagamento del riscatto perché possono incoraggiare attacchi futuri e non offrono alcuna garanzia che i dati rubati vengano effettivamente distrutti.
Tuttavia, le organizzazioni che affrontano incidenti di estorsione su larga scala spesso valutano il rischio che informazioni sensibili diventino pubbliche, soprattutto quando milioni di studenti, insegnanti e personale potrebbero essere colpiti.
L’incidente è diventato uno dei più grandi attacchi informatici noti che hanno colpito il settore educativo e ha rinnovato le preoccupazioni per la crescente dipendenza dalle piattaforme tecnologiche educative centralizzate. I ricercatori di sicurezza avvertono che i grandi sistemi di gestione dell’apprendimento sono diventati bersagli sempre più attraenti perché immagazzinano enormi quantità di dati personali e istituzionali sensibili in un unico luogo.
Rimangono anche dubbi sul fatto che tutti i dati rubati siano stati messi al sicuro dopo il pagamento. Gli esperti di cybersecurity notano che i gruppi di ransomware ed estorsione spesso conservano copie di informazioni rubate anche dopo la conclusione delle trattative, lasciando le vittime esposte a future fughe di notizie o rivendite su forum clandestini.
Instructure ha dichiarato di continuare a collaborare con investigatori forensi e forze dell’ordine, monitorando eventuali segni che i dati rubati possano ancora emergere online.