Hackerlar, büyüyen Canvas LMS veri ihlalinden etkilendiği iddia edilen eğitim kurumlarının devasa bir listesini yayımladı; isimlerde Harvard Üniversitesi, MIT, Oxford Üniversitesi ve birçok ülkedeki binlerce okul yer alıyor.
Sızıntı, Instructure tarafından geliştirilen yaygın kullanılan öğrenme yönetim platformu Canvas’a bağlı sistemleri ihlal ettiğini iddia eden siber suç grubu ShinyHunters ile bağlantılı. Saldırganlar, olayın dünya genelinde yaklaşık 9.000 kurumu ve 275 milyona kadar kişiyi etkilediğini iddia ediyor.
Grubun yayımladığı dosyalara göre, sızdırılan mağdur listesinde yaklaşık 8.809 eğitim kuruluşu yer alıyor. Kurumlar en az 10 ülkeyi kapsar olup, çoğunluğu Amerika Birleşik Devletleri’ndedir, ardından Avustralya, Birleşik Krallık ve Avrupa’nın bazı bölgeleri gelir.
Etkilendiği iddia edilen kuruluşlar arasında Harvard, Oxford, MIT, Princeton ve Pennsylvania Üniversitesi gibi dünya çapında tanınan üniversiteler de bulunuyor. Listede ayrıca lise okulları, meslek kurumları ve çalışan eğitim programları için Canvas kullandığına inanılan birkaç kurumsal kuruluş da yer alıyor.
ShinyHunters, ihlalın, isimler, e-posta adresleri, öğrenci kimlik numaraları ve platform üzerinden öğrenciler, öğretmenler ve yöneticiler arasında paylaşılan milyarlarca özel mesaj dahil olmak üzere büyük miktarda hassas eğitim verisini ortaya çıkardığını iddia ediyor.
Instructure, Canvas ile ilgili bir siber güvenlik olayı doğruladı, ancak saldırganların iddialarının ölçeğini doğrulamadı. Şirket, açığa çıkan bilgilerin kimlik verileri ve kullanıcı iletişimlerini de içerebileceğini belirtti, ancak şu anda şifrelerin, finansal verilerin, doğum tarihlerinin veya devlet tarafından verilen tanımların ele geçirildiğine dair hiçbir kanıt olmadığını belirtti.
Şirket ayrıca, ayrıcalıklı kimlik bilgilerini iptal ettiğini, güvenlik anahtarlarını döndürdüğünü, etkilenen sistemleri yamalarını düzelttiğini ve olayı araştırmak için dış adli uzmanlarla birlikte çalışmalarını artırdığını açıkladı.
Bu ihlal, Canvas’ın dünyanın en yaygın kullanılan öğrenme yönetim sistemlerinden biri olması nedeniyle eğitim sektöründe endişe yarattı. Üniversitelerin %40’ından fazlasının ders çalışmaları, ödevler, mesajlaşma ve dijital sınıf yönetimi için platforma güvendiği bildiriliyor.
Dünya çapında birçok üniversite ve okul, olayla ilgili bildirimler aldığını zaten kabul etti. Avustralya, İsveç ve diğer ülkelerdeki eğitim kurumları, öğrenci ve personel verileriyle ilgili potansiyel maruziyeti değerlendirdiklerini doğruladı.
Yetkililer ve okul yöneticileri, eğitim ortamlarında özel iletişimlerin olası açığa çıkmasından özellikle endişe duymaktadır. Araştırmacılar, sızdırılan konuşmalar, e-posta adresleri ve kurumsal kayıtların oltalama saldırılarında, kimlik hırsızlığı kampanyalarında veya hedefli sosyal mühendislik operasyonlarında kullanılabileceği konusunda uyarıda bulunuyor.
Bu olay ayrıca eğitim kurumlarının karşı karşıya olduğu artan siber güvenlik risklerini de gözler önüne seriyor. Üniversiteler ve okullar, büyük miktarda kişisel veri depolarken genellikle parçalanmış BT ortamları ve sınırlı güvenlik kaynaklarıyla faaliyet gösterdikleri için siber suçlu grupları için giderek daha cazip hedef haline gelmiştir.
ShinyHunters, son yıllarda en aktif şantaj odaklı siber suç gruplarından biri olarak öne çıktı ve sürekli bulut hizmetlerini, SaaS sağlayıcılarını, üniversiteleri ve kurumsal platformları hedef aldı. Grup daha önce Salesforce ortamlarını, telekomünikasyon şirketlerini, finans kurumlarını ve devlet kurumlarını etkileyen ihlallerle bağlantılı olarak biliniyordu.
Araştırmacılar, grubun veri hırsızlığını kamu şantajıyla sıkça birleştirdiğini, mağdurlar müzakerelere razı olmadıkça çalınan bilgileri sızdırmakla tehdit ettiğini söylüyor. Birçok durumda, saldırganlar baskıyı artırmak ve medya dikkatini çekmek için mağdur isimleri veya kısmi veri setleri yayımlar.
Canvas olayı da bu kalıba uyuyor gibi görünüyor. ShinyHunters, ihlale ilgili ek bilgileri, iddia edilen etkilenen kurumların listelerini de yayımlamaya devam etti ve kuruluşları daha fazla veri kamuoyuna sızdırmadan önce grupla iletişime geçmeleri konusunda uyardı.
Güvenlik analistleri, ihlalın gerçek ölçeğinin hâlâ belirsiz olduğunu çünkü saldırganların iddialarının bağımsız doğrulamasının hâlâ devam ettiğini söylüyor. Ancak, ShinyHunters tarafından sağlanan rakamlar doğru çıkarsa, olay kayıtlara geçen en büyük eğitim sektörü veri ihlallerinden biri olabilir.