Canvas sahibi Instructure, final haftasında okulları ve üniversiteleri aksatan ve öğrenci verilerinin çalınma ihtimali nedeniyle endişeleri ortaya koyan büyük siber saldırının ardından hackerlara ödeme yaptığını doğruladı.
Siber suç grubu ShinyHunters tarafından üstlenilen saldırı, bu ayın başlarında Canvas öğrenme yönetim platformunda yaygın kesintilere yol açtı ve öğrenciler ile öğretmenler dünya çapında binlerce kurumda ders çalışmaları, ödevler, ders materyalleri ve sınavlardan mahrum bıraktı.
Bir public statement bölümde, Instructure, saldırganlarla müzakerelere girdiğini ve sonunda çalıntı verilerin yayımlanmasını önlemek amacıyla fidye talebini ödediğini kabul etti. Şirket, kararın siber güvenlik uzmanları ve kolluk kuvvetleriyle görüşerek alındığını belirtti.
Şirket, ne kadar para ödendiğini veya saldırganların çalınan verilerin sonrasında silindiğine dair kanıt sunup sunmadığını kamuoyuna açıklamadı.
İhlal, eğitim kurumları için mümkün olan en kötü zamanlardan birinde, final sınavları ve mezuniyet sezonunda gerçekleşti. Kuzey Amerika, Avrupa, Avustralya ve Asya’daki öğrenciler, olay sırasında okulların Canvas erişimini geçici olarak engellediği için çalışma materyallerine erişemediklerini, ödevleri gönderemediklerini veya değerlendirmeleri tamamlayamadıklarını bildirdiler.
Kesintinin ders sistemlerini bozması nedeniyle birkaç üniversite sınavları erteledi veya son teslim tarihlerini uzattı. Bazı kurumlar, öğrenci ve personel verilerinin olası açığa çıkmasını araştırırken Canvas’ı tamamen iç ağlardan ayırdı.
ShinyHunters, saldırının yaklaşık 9.000 okulu etkilediğini ve dünya çapında yaklaşık 275 milyon kullanıcıya bağlı verileri ortaya çıkardığını iddia etti. Gruba göre, çalınan bilgiler arasında isimler, e-posta adresleri, öğrenci kimlik numaraları ve Canvas sistemleri üzerinden paylaşılan milyarlarca özel mesaj bulunuyordu.
Instructure daha önce şifrelerin, finansal bilgilerin, Sosyal Güvenlik numaralarının veya devlet tarafından verilen kimliklerin ele geçirildiğine dair hiçbir kanıt olmadığını belirtmişti. Şirket, ihlali platforma bağlı “Öğretmen İçin Ücretsiz” hesaplarla ilgili sorunlara bağladı.
Olay sırasında, bazı kullanıcıların Canvas’a giriş yapmaya çalıştığı kişilerin sızıntı son tarihinden önce müzakere talep eden fidye mesajlarına yönlendirildiği bildirildi. Saldırganlar, ödeme yapılmazsa çalınan verileri kamuoyuna açıklayacakları tehditinde bulundu.
Hackerlara ödeme yapılması kararı, siber güvenlik uzmanları ve eğitimciler arasında tartışmalara yol açması muhtemeldir. Kolluk Kuvvetleri genellikle fidye ödemelerini caydırır çünkü gelecekteki saldırıları teşvik edebilir ve çalıntı verilerin gerçekten yok edileceğine dair garanti sunmaz.
Yine de, büyük çaplı şantaj olaylarıyla karşı karşıya olan kuruluşlar, özellikle milyonlarca öğrenci, öğretmen ve personelin etkilenebileceği durumlarda, hassas bilgilerin kamuya açık olma riskini sıkça tartmaktadır.
Bu olay, eğitim sektörünü hedef alan bilinen en büyük siber saldırılardan biri haline geldi ve merkezi eğitim teknolojisi platformlarına artan bağımlılık konusundaki endişeleri yeniden canlandırdı. Güvenlik araştırmacıları, büyük öğrenme yönetim sistemlerinin çok hassas kişisel ve kurumsal verileri tek bir yerde sakladıkları için giderek daha cazip hedefler haline geldiğini söylüyor.
Ayrıca, ödeme sonrası çalınan tüm verilerin güvence altına alınıp alınmadığına dair sorular devam ediyor. Siber güvenlik uzmanları, fidye yazılımı ve şantaj gruplarının müzakereler sona erdikten sonra bile çalınan bilgilerin kopyalarını sıkça sakladığını ve mağdurların gelecekteki sızıntılara veya yeraltı forumlarında yeniden satışa açık bıraktığını belirtiyor.
Instructure, çalınan verilerin hâlâ çevrimiçi ortaya çıkabileceğine dair herhangi bir işaret olup olmadığını izlerken, adli tıp araştırmacılar ve kolluk kuvvetleriyle çalışmaya devam ettiğini söyledi.