Η Instructure, η εταιρεία που δημιούργησε τη δημοφιλή εκπαιδευτική πλατφόρμα Canvas, προχώρησε σε μια μάλλον ασυνήθιστη και αμφιλεγόμενη κίνηση: ανακοίνωσε ότι κατέληξε σε συμφωνία με τους hackers που παραβίασαν τα συστήματά της δύο φορές. Η διπλή αυτή κυβερνοεπίθεση οδήγησε στην κλοπή τεράστιου όγκου δεδομένων μαθητών και εκπαιδευτικού προσωπικού, προκαλώντας σοβαρή αναστάτωση σε χιλιάδες εκπαιδευτικά ιδρύματα.
Την ευθύνη για την αρχική παραβίαση της 29ης Απριλίου ανέλαβε η ομάδα κυβερνοεγκληματιών ShinyHunters, η οποία έχει οικονομικά κίνητρα. Σύμφωνα με τους ίδιους, κατάφεραν να υποκλέψουν προσωπικά δεδομένα 275 εκατομμυρίων χρηστών του Canvas, μιας πλατφόρμας που χρησιμοποιείται από σχεδόν 9.000 σχολεία παγκοσμίως για τη διαχείριση δεδομένων και εργασιών.
Οι επιθέσεις, ωστόσο, δεν σταμάτησαν εκεί. Την περασμένη εβδομάδα, οι hackers παραβίασαν την εταιρεία για δεύτερη φορά, αλλοιώνοντας (defacing) τις σελίδες σύνδεσης του Canvas σε ιστοσελίδες σχολείων, σε μια προσπάθεια να ασκήσουν πίεση στην Instructure για την καταβολή λύτρων. Παρότι οι δύο επιθέσεις έγιναν σε διάστημα μικρότερο του ενός έτους, η Instructure υποστηρίζει ότι πρόκειται για «ξεχωριστά γεγονότα» που αφορούσαν διαφορετικά συστήματα.
Αργά το βράδυ της Δευτέρας, η Instructure ενημέρωσε μέσω της σελίδας περιστατικών της ότι, στο πλαίσιο της συμφωνίας, οι hackers παρείχαν αποδείξεις πως τα κλεμμένα δεδομένα καταστράφηκαν και ότι οι πελάτες του Canvas δεν θα πέσουν θύματα εκβιασμού. Ωστόσο, η ίδια η εταιρεία παραδέχτηκε ρεαλιστικά ότι «ποτέ δεν υπάρχει απόλυτη βεβαιότητα» όταν διαπραγματεύεσαι με κυβερνοεγκληματίες.
Οι οικονομικοί όροι της συμφωνίας παραμένουν άγνωστοι.
Τα στοιχεία, πάντως, δείχνουν ότι η πληρωμή μάλλον πραγματοποιήθηκε, όπως αναφέρει το TechCrunch:
- Η απειλή δημοσίευσης των δεδομένων αφαιρέθηκε από το leak site των ShinyHunters.
- Εκπρόσωπος της ομάδας των hackers προχώρησε στην εξής δήλωση: «Τα δεδομένα έχουν διαγραφεί, έχουν χαθεί. Η εταιρεία και οι πελάτες της δεν θα γίνουν περαιτέρω στόχος, ούτε θα υπάρξει επικοινωνία για πληρωμή από εμάς.»
Τα δεδομένα που εκλάπησαν από τα συστήματα της Instructure περιλαμβάνουν εξαιρετικά ευαίσθητες πληροφορίες, όπως:
- Ονόματα μαθητών.
- Προσωπικές διευθύνσεις email.
- Προσωπικά μηνύματα που ανταλλάχθηκαν μεταξύ εκπαιδευτικών και μαθητών.
Η απόφαση της Instructure να συνθηκολογήσει εγείρει σοβαρά ερωτηματικά, καθώς κυβερνήσεις –συμπεριλαμβανομένων των ΗΠΑ– και ερευνητές ασφαλείας προτρέπουν σταθερά τα θύματα να μην πληρώνουν λύτρα. Το FBI ανέφερε σε σχετική ανακοίνωσή του ότι τα θύματα «δεν πρέπει να στέλνουν πληρωμές ή να ανταποκρίνονται» στις απαιτήσεις των hackers.
Η υπόθεση θυμίζει την κυβερνοεπίθεση στην PowerSchool το 2024. Η εταιρεία, που επίσης κατασκευάζει εκπαιδευτικό λογισμικό, είχε πληρώσει τους hackers για να επιστρέψουν τα δεδομένα 70 εκατομμυρίων μαθητών και προσωπικού. Παρ’ όλα αυτά, το αποτέλεσμα ήταν καταστροφικό: αρκετοί πελάτες της εκβιάστηκαν αργότερα από άλλη εγκληματική ομάδα, η οποία είχε στα χέρια της δεδομένα από την παραβίαση που, τελικά, δεν είχαν καταστραφεί.
