Canvas Veri İhlali: Birleşik Krallık'ta 160 Yüksek Öğretim Kurumu Etkilendi Windows

Canvas Veri İhlali: Birleşik Krallık'ta 160 Yüksek Öğretim Kurumu Etkilendi

Birleşik Krallık Siber İzleme Merkezi (CMC), Canvas öğrenim yönetim sistemindeki veri ihlalinin 160'tan fazla yüksek öğretim kurumunu etkilediğini açı

Birleşik Krallık Siber İzleme Merkezi (CMC), Instructure'ın Canvas öğrenim yönetim sistemi (LMS) üzerindeki siber saldırıya ilişkin kapsamlı analizini yayımladı. Eğitim teknolojisi şirketinin kendi bulgularını gelecek hafta paylaşmaya hazırlandığı bir dönemde gelen bu rapor, saldırının boyutlarını ve etkilerini gözler önüne seriyor. CMC'ye göre, dünya genelinde yaklaşık 9.000 eğitim kurumu etkilenirken, Birleşik Krallık'ta bu sayı 160'ın üzerinde yüksek öğretim kurumuna ulaşıyor. Tehdit aktörleri, gizli ders ve kullanıcı verilerini sızdırarak önemli bir güvenlik açığı oluşturdu.

Canvas olayı, CMC'nin minimum kategori eşiğini karşılamasa da, kuruluş bu incelemeyle veri ihlali olaylarının finansal etkisini daha iyi anlamayı, veri ihlali analiz modelini geliştirmeyi ve Birleşik Krallık yüksek öğretim sektöründeki siber risklere ilişkin içgörüyü derinleştirmeyi hedefliyor. CMC, bir siber saldırıyı 'Kategori 1 olay' olarak sınıflandırmak için 10 milyon sterlin (13 milyon dolar) üzerinde kayıp veya Birleşik Krallık kuruluşlarının %0,01'inden fazlasını etkileme koşulunu arıyor. Karşılaştırma yapmak gerekirse, 2025'te Jaguar Land Rover'a yapılan siber saldırı, beş puanlık CMC ölçeğinde Kategori 3 sistemik bir olay olarak derecelendirilmişti.

CMC, Canvas olayının veri ihlallerinin finansal profil açısından büyük ölçekli kesinti olaylarından nasıl farklılaşabileceğini gösterdiğini belirtti. CMC incelemesine göre, "Bu durumda kayıplar, uzun süreli iş kesintisinden ziyade müdahale, kurtarma ve risk yönetimi faaliyetlerinden kaynaklanıyor." Bu, eğitim kurumlarının siber saldırılara hazırlıklı olması ve hızlı müdahale planları geliştirmesi gerektiğini vurguluyor.

Saldırının kronolojisine bakıldığında, 29 Nisan'da Instructure, Canvas'ta yetkisiz bir etkinlik tespit etti. Şirket, bu etkinliğin teknoloji ve eğitim dahil birden çok sektörde büyük ölçekli saldırılarıyla bilinen bir siber suç örgütü tarafından gerçekleştirildiğini açıkladı. 7 Mayıs 2026'da aynı tehdit aktörü, ikinci bir Canvas güvenlik açığı üzerinden ek erişim sağladı. Yetkisiz aktör, bazı öğrenci ve öğretmenler Canvas üzerinden oturum açtığında görünen sayfalarda değişiklik yaptı. Yaklaşık 330 kurumsal Canvas oturum açma sayfasında görünen bir tahrif mesajı, birçok kişinin ShinyHunters fidye yazılım grubunun saldırının merkezinde olduğu sonucuna varmasına yol açtı. Ancak Instructure, bu atıfı doğrulamadı. Şirket, 9 Mayıs'ta Canvas'ın tamamen çevrimiçi ve kullanıma hazır olduğunu doğruladı. CrowdStrike, olayla ilgili adli incelemeye katılırken, Instructure saldırının Free-For-Teacher hesaplarından biri kullanılarak gerçekleştirildiğini belirtti.

Önemli Gelişmeler

CMC, etkilenen yüksek öğretim kurumu sayısına rağmen tehdit aktörlerinin diğer kurumsal sistemlere yanal hareket ettiğine dair bir kanıt bulunmadığını söyledi. Canvas olayının analiziyle pekiştirilen öneriler, yüksek öğretim kurumları için 'ortak iyi uygulama' olarak tanımlandı. Bunlar arasında: mimariyi riskle uyumlu hale getirmek (kurumun risk iştahına göre kritik sistemleri ve yüksek değerli hizmetleri korumak), uygulama ve veri katmanlarını ayırmak (veri bütünlüğü, kurtarma ve doğrulamayı iyileştirmek için bu bileşenleri mümkün olduğunca izole etmek), çok faktörlü kimlik doğrulamayı (MFA) tutarlı bir şekilde uygulamak, üçüncü taraf erişimini kontrol etmek, açık deniz bağımlılıklarını değerlendirmek (yasal ve destek sınırlamaları dahil), SaaS güvenliğini güçlendirmek ve olay müdahale planlarını test etmek yer alıyor.

İletişim de olaylara müdahale eden kuruluşlar için önemli bir öneri olarak öne çıktı. CMC, yazılım sağlayıcılarının olay bildirimleri için uygun müşteri bağlantılarını (örneğin CIO veya CISO) sürdürmesi gerektiğini vurguladı. Olayın ardından eğitim teknolojisi şirketi, "bu olaya karışan yetkisiz aktörle bir anlaşmaya vardığını" söyledi ancak para alışverişi olup olmadığını belirtmedi. CMC, fidye ödemesinin ardından verilerin silineceğine dair vaatlerin, silindiğine dair teknik kanıtlar sunulsa bile güvenilmez olduğunu kaydetti. Bu durumda öğrencilere ve diğerlerine yönelik devam eden riskin doğrudan fidye olması pek olası değil. Daha olası bir risk, sızdırılan verilerin daha sofistike kimlik avı e-postalarıyla hedef almak için kullanılması. Canvas, sızdırılan bilgilerin kamuya açıklanmasını beklemediğini ancak etkilenenlerin kimlik avı, smishing ve vishing dolandırıcılıklarına karşı dikkatli olması gerektiğini vurguladı.

Kaynak: infosecurity-magazine.com

Paylaş: