Canvas Öğrenim Yönetim Sistemi'nin üreticisi Instructure, geçtiğimiz ay yaklaşık 9000 eğitim kurumunu etkileyen veri ihlalinin ardından siber suçlu grubuyla anlaşmaya vardığını duyurdu. Utah merkezli eğitim teknolojisi firması, olay güncellemesinde 'bu olaya karışan yetkisiz aktörle bir anlaşmaya vardıklarını' belirtti. Şirket, anlaşma kapsamında para transferi yapılıp yapılmadığını açıklamazken, saldırganların ShinyHunters topluluğu olduğu ve genellikle Bitcoin ile fidye talep ettiği biliniyor.
Instructure, anlaşmanın etkilenen tüm müşterileri kapsadığını ve bireysel kurumların saldırganlarla iletişime geçmesine gerek olmadığını belirtti. Çalınan verilerin iade edildiği ve şirketin, verilerin imha edildiğine dair dijital bir onay aldığı bildirildi. Ayrıca, hiçbir Instructure müşterisinin ayrıca fidye talebiyle karşılaşmayacağına dair güvence verildi. Ancak şirket, siber suçlularla müzakere etmenin getirdiği belirsizliği kabul ederek müşterilerini rahatlatmak için elinden geleni yaptığını ifade etti.
Siber güvenlik uzmanları, fidye yazılım gruplarıyla anlaşmanın küresel kolluk kuvvetleri tavsiyelerine aykırı olduğunu ve sızdırılan verilerin gerçekten imha edildiğine dair hiçbir garanti vermediğini vurguluyor. Nitekim anlaşma, verilerin geri alındığı iddiasını gündeme getirse de, saldırganların elinde hâlâ kopyalar bulunabileceği ihtimali endişe yaratıyor. Bu durum, özellikle eğitim kurumları için uzun vadeli bir phishing riski anlamına geliyor.
Teknik Analiz
Saldırı, Canvas'ın 'Öğretmenler İçin Ücretsiz' sürümündeki destek biletleriyle ilgili açıklanmamış bir güvenlik açığından kaynaklandı. Saldırganlar, yaklaşık 275 milyon kaydı sızdırmayı başardı. Çalınan veriler arasında kullanıcı adları, e-posta adresleri, ders isimleri, kayıt bilgileri ve mesajlar yer alırken, Instructure ders içerikleri, ödevler ve kimlik bilgilerinin ele geçirilmediğini vurguladı. 7 Mayıs'ta ikinci bir dalgada saldırganlar, yaklaşık 330 kurumun Canvas giriş portallarına fidye mesajları yerleştirerek 12 Mayıs'a kadar müzakere süresi tanıdı.
Uzmanların Görüşleri
Saldırıyı izleyen Halcyon siber güvenlik firması, sızdırılan kayıtların takip saldırılarında 'okul yöneticileri, BT desteği veya mali yardım ofislerini taklit etmek' için kullanılabileceği uyarısında bulundu. Verilerin iade edilmiş olmasına rağmen Halcyon, etkilenen kurumların personel, öğrenci ve velilere yönelik phishing uyarıları yayınlamasını ve doğrudan iletişim kanalları kurmasını tavsiye etti. Bu, anlaşmanın ardından bile dolandırıcılık riskinin devam ettiğini gösteriyor.
Instructure, olaya yanıt olarak 'Öğretmenler İçin Ücretsiz' hesaplarını geçici olarak kapattı, etkilenen sistemlerde ayrıcalıklı kimlik bilgilerini ve erişim tokenlerini iptal etti, dahili anahtarları döndürdü ve ek güvenlik kontrolleri devreye aldı. Şirket ayrıca adli bilişim sağlayıcılarıyla çalıştığını ve sızdırılan verilerin kapsamlı bir incelemesini yürüttüğünü belirtti. Bu önlemler, benzer saldırıların tekrarlanmasını engellemeye yönelik olsa da, eğitim sektörünün siber güvenlik zafiyetlerini bir kez daha gözler önüne seriyor.
Kaynak: infosecurity-magazine.com