Представители Палаты представителей недовольны. Законодатели требуют от компании Instructure явиться в Конгресс. Им нужны показания под присягой. Почему? Потому что образовательная платформа подверглась взлому дважды. Миллионы студентов. Миллионы преподавателей. Все данные оказались скомпрометированы.
И реакция Instructure была медленной. Очень медленной.
«Конгресс требует, чтобы Instructure ответила на вопросы»
Сделка с хакерами из группы ShinyHunters выглядит привлекательно на бумаге. Хакеры пообещали уничтожить украденные данные. Никакого вымогательства. Только молчание. Instructure заявила, что получила «журналы удаления» как доказательство. Это своего рода цифровое подтверждение.
Но доверяют ли группы вымогателей?
Андрю Гарбарино, председатель Комитета по внутренней безопасности, рассылает официальные запросы. Ему нужно знать, как была организована координация с Агентством по безопасности киберпространства и инфраструктуры (CISA). Была ли она достаточной? CISA помогло локализовать ущерб, а Instructure обратилась к внешним экспертам по цифровой криминалистике. Однако в Гарбарино этот нарратив находит пробелы.
Он — республиканец из Нью-Йорка и не склонен прощать корпоративные уклонения от ответственности. Его письмо генеральному директору Стиву Дэйли бьет точно в цель:
- Как злоумышленникам удалось проникнуть снова?
- Что именно было украдено?
Имена пользователей, адреса электронной почты, названия курсов, сообщения между учителями и учениками, данные о зачислениях. Instructure перечисляет эти данные как незначительные неудобства. Но это не так. Это чужие жизни.
Двойной удар
29 апреля хакеры из ShinyHunters пробрались внутрь системы. Они воспользовались уязвимостью, связанной с бесплатными аккаунтами «Free-For-Teacher». Это специфичный вектор атаки — «задняя дверь», которую компания либо оставила открытой, либо просто не обнаружила вовремя.
Они собрали все доступные данные.
Затем последовала пауза.
До 7 мая. Затем они ударили снова. На этот раз оставили послание — цифровую насмешку прямо на экране входа в систему. Instructure пришла в панику. И не без оснований. Платформа Canvas была переведена в режим технического обслуживания. Студенты пытались войти в систему, но ничего не происходило. Они видели лишь стену кода с просьбой «попытаться позже».
ShinyHunters заявили, что в их прицеле оказалось более 9 000 учебных заведений. Университеты, государственные школы, учреждения K-12 повсеместно. Это означает, что в игре оказались несовершеннолетние. Данные детей гуляют по даркнету. Это кошмар для защитников приватности. И для родителей.
Кто такие ShinyHunters?
Если имя вам знакомо, это правильно.
Это не случайный подросток с ноутбуком. Это организованная группировка, ветераны вымогательского ПО. Недавно они атаковали компанию Anodot. В апреле они похитили бизнес-данные Rockstar Games. Microsoft, Cisco, AT&T? Они тоже становились мишенями. Страховые компании? Кредитные союзы? Любой, кто хранит конфиденциальные данные, — их цель.
Instructure не единичный случай. Просто этот инцидент получил широкую огласку.
Сейчас Canvas работает. В основном. Аккаунты «Free-For-Teacher» временно отключены. Instructure заявляет, что их партнеры по цифровой криминалистике не видят активных угроз. Акторы вышли из системы. Или, по крайней мере, они замолчали.
Запланирована онлайн-конференция. Возможно, 13 мая? Даты постоянно меняются. Компания просит обращаться к специальной странице с информацией об инциденте по всем остальным вопросам. Стандартный PR-ход: отвлечь внимание и направить на статью в блоге.
Оплата выкупа. Снова.
Вот в чем главная проблема.
Instructure заплатила.
Они заключили сделку. ShinyHunters, как утверждается, удалили данные. Instructure с гордостью объявила об этой договоренности. Эксперты отрасли это ненавидят. ФБР тоже.
«Это нормализует поведение для преступников в будущем»
Трой Хант, создатель сервиса Have I Been Pwned, который отслеживает утечки данных, считает это ужасным прецедентом. Оплата преступников делает криминал прибыльным. Это посылает четкий сигнал: преступность окупается.
Почему они пошли на это? Масштаб. Охват. Давление со стороны школ. Родители кричали о безопасности детей. Instructure чувствовала себя в ловушке. Возможно, они думали, что это единственный способ остановить утечку данных.
Хант не верит в «журналы удаления».
«Полной уверенности не бывает никогда», — гласит сайт Instructure. Даже они это признают. И тем не менее они назвали сделку успешной.
Вспомните PowerSchool. Конец 2024 года. Они заплатили ShinyHunters. Получили видео, где хакеры символически сжигают жесткие диски. Исчезли ли данные? Нет. Они всплыли позже. Преподавателей шантажировали индивидуально. Потребовали больше денег. За те же самые данные.
Эта схема существует. Она повторяется.
Instructure думает, что избежала катастрофы. ФБР считает, что они подкармливают волка. Трой Хант видит в этом предупреждение для каждой другой компании, хранящей данные студентов.
Исчезли ли копии данных?
Скорее всего, нет.
ShinyHunters — опытные игроки. У них наверняка есть резервные копии. Вне системы. Зашифрованные. Ждущие нового случая.
Instructure заявляет, что нет признаков текущего доступа злоумышленников. Партнеры по криминалистике говорят, что система безопасна. Но «безопасно» не значит «неуязвимо». А «уничтожено» не значит «исчезло».
Миллионы записей о студентах. Где-то там.
Ждут следующей требовательной ноты.
