La Camera non è contenta. I legislatori chiedono la presenza di Instructure. Vogliono testimonianze. Perché? Perché la piattaforma educativa è stata violata due volte. Milioni di studenti. Milioni di insegnanti. Tutto esposto.
E Instructure era lento. Molto lento.
“Il Congresso vuole strutture per rispondere alle domande”
L’accordo con ShinyHunters sembra buono sulla carta. Gli hacker hanno promesso di distruggere i dati rubati. Niente più estorsioni. Solo silenzio. Instructure ha affermato di aver ricevuto “registri triturati” come prova. Conferma digitale, più o meno.
Ma qualcuno crede ai gruppi ransomware?
Il rappresentante Andrew Garbarino presiede il Comitato per la Sicurezza Nazionale. Sta mandando lettere. Vuole sapere come ha funzionato il coordinamento con la CISA. Era adeguato? La Cybersecurity and Infrastructure Security Agency ha contribuito a contenere l’esplosione. Esperti forensi esterni, li ha chiamati Instructure. Garbarino vede che manca qualcosa in quella narrazione.
È un repubblicano di New York. Non gli interessa molto l’evasione aziendale. La sua lettera al CEO Steve Daly è essenziale:
- Come sono riusciti a rientrare?
- Cosa è stato rubato esattamente?
Nomi utente. E-mail. Nomi dei corsi. Messaggi tra insegnanti e ragazzi. Iscrizioni. L’infrastruttura li elenca come se fossero inconvenienti minori. Non lo sono. Queste sono vite.
Il doppio tocco
29 aprile. ShinyHunters si è intrufolato. Hanno sfruttato una falla legata agli account “Free-For-Teacher”. È un vettore specifico. Una porta sul retro che hanno tenuto aperta o forse hanno appena trovato.
Hanno raschiato tutto quello che sono riusciti a trovare.
Poi si fermarono.
Fino al 7 maggio. Colpiscono ancora. Questa volta hanno lasciato un biglietto. Una provocazione digitale sulla schermata di accesso. La struttura è stata presa dal panico. BENE. Avrebbero dovuto. Canvas è entrato in modalità manutenzione. Gli studenti hanno effettuato l’accesso. Non è successo nulla. Solo un muro di codice che dice “riprova più tardi”.
ShinyHunters ha affermato che oltre 9.000 istituzioni erano nel loro mirino. Università. Scuole pubbliche. K-12 ovunque. Il che significa minorenni. I dati dei minorenni fluttuano nel dark web. Questo è un incubo per i difensori della privacy. E per i genitori.
Chi sono gli ShinyHunters?
Se il nome suona familiare. Bene. Dovrebbe.
Questo non è un ragazzo a caso con un laptop. È un collettivo organizzato. Veterani del ransomware. Recentemente hanno affrontato Anodot. Hanno recuperato i dati aziendali di Rockstar Games ad aprile. Microsoft? Cisco? AT&T? Hanno guardato lì. Compagnie assicurative? Cooperative di credito? Chiunque detenga dati sensibili è un bersaglio.
La struttura non è unica. Solo di alto profilo.
In questo momento Canvas funziona. Soprattutto. Gli account Free-For-Teacher però sono morti. Temporaneamente disabilitato. Instructure dice che il partner forense non vede alcuna minaccia attiva. Gli attori sono fuori. O almeno. Sono silenziosi.
È previsto un webinar. Forse per il 13 maggio? Le date continuano a cambiare. L’azienda indica la pagina degli incidenti per tutto il resto. Mossa PR standard. Deviare. Fare riferimento al post del blog.
Pagare il riscatto. Ancora.
Ecco la vera controversia.
Struttura pagata.
Hanno raggiunto un accordo. ShinyHunters ha cancellato i dati (presumibilmente). Instructure ha annunciato con orgoglio questo accordo. Gli esperti del settore lo odiano. L’FBI lo odia.
“Normalizza il modello per i futuri criminali”
Troy Hunt corre Sono stato incantato. Tiene traccia delle violazioni per vivere. Pensa che questo sia un consiglio terribile. Pagare i criminali rende il crimine redditizio. Invia un segnale. Il crimine paga.
Perché l’hanno fatto? Scala. Ambito. Pressioni da parte delle scuole. Genitori che gridano alla sicurezza dei bambini. L’infrastruttura si sentiva messa all’angolo. Forse pensavano che fosse l’unico modo per fermare le fughe di notizie.
Hunt non acquista i tronchi triturati.
“Non c’è mai la certezza completa”, afferma il sito web di Instructure. Anche loro lo sanno. Eppure lo hanno definito un successo.
Guarda PowerSchool. Fine 2024. Hanno pagato ShinyHunters. Ho un video degli hacker che bruciano i dischi rigidi (digitalmente). I dati sono scomparsi? No. È emerso più tardi. Gli insegnanti sono stati estorti individualmente. Chiesto più denaro. Per gli stessi dati.
Questo modello esiste. Si ripete.
L’infrastruttura pensa che abbiano schivato il proiettile. L’FBI pensa che abbiano dato da mangiare al lupo. Troy Hunt pensa che sia un avvertimento per tutte le altre aziende che si basano sui dati degli studenti.
Le copie sono sparite?
Probabilmente no.
Gli ShinyHunters sono esperti. Probabilmente hanno dei backup. Fuori sede. Crittografato. In attesa di una nuova apertura.
L’infrastruttura dice che non ci sono prove di accesso attuale. Il partner della scientifica dice che sono al sicuro. Ma sicuro non è sicuro. E distrutto non è sparito.
Milioni di record di studenti. Là fuori. In qualche luogo.
In attesa della prossima richiesta.
