Dünyanın dört bir tarafındaki eğitim kurumlarını birbirine bağlayan Canvas platformunun geliştiricisi Instructure, nisan ayı sonunda yetkisiz bir öğretmen hesabı üstünden sisteme sızıldığını doğruladı. İhlalin fark edilmesiyle beraber güvenlik protokolleri gereği sistem geçici olarak çevrimdışı bırakılsa da saldırganların devasa bir veri setine ulaşmış olduğu anlaşıldı.
Saldırının sorumluluğunu üstüne alan siber kabahat örgütü ShinyHunters, ellerinde 275 milyon kullanıcıya ilişkin isim, e-posta, talebe numarası ve kişisel bildiri şeklinde verilerin bulunduğunu iddia ediyor. Hemen hemen şifrelerin yada finansal bilgilerin sızdığına dair kati bir kanıt bulunmasa da, çalınan verileri kamuoyuna sızdırmama karşılığında şirketten yüklü bir “uzlaşma bedeli” talep ediliyor.
Siber güvenlik uzmanları, bilhassa finansal geçmişi temiz olan öğrencilerin kimlik hırsızlığı vakaları için “ideal birer hedef” haline geldiğini vurgulayarak, fidye ödemenin suçluları teşvik etmekten başka bir işe yaramayacağını belirtiyor. Yetkililer, platformu kullanan her insanın acilen şifrelerini güncellemesini ve fazlaca faktörlü kimlik doğrulama (MFA) sistemlerini etken hale getirmesini yaşamsal bir güvenlik adımı olarak tavsiye ediyor.
