I USA, Canada, Australien og Storbritannien ramte et ransomware-angreb omkring 9.000 uddannelsesinstitutioner og forstyrrede eksamener. Instructure, bag Canvas, siger, de har nået en aftale med hackerne, som har slettet stjålet data og ikke vil offentliggøre dem. Betaling til kriminelle mødes af myndighederne med modstand og kan føre til nye angreb.
Indledende signal
Hændelse 12. maj 10.31
62
Canvas-hacket: firmaet betaler hackere for at slette stjålet data
Aktuel·12. maj 10.50
Canvas-angreb: Instructure betalte hackerne
Se lignende artikler på Google
Del artikel
Del denne artikel
Vil du læse artikler uden reklamer?
Tilmeld dig gratis og få uendelig adgang til alle artikler.
Instructure betalte sig ud af Canvas-krisen, men det sværeste spørgsmål står tilbage
Efter sidste uges angreb på læringsplatformen Canvas har Instructure nu bekræftet, at selskabet indgik en aftale med hackerne bag bruddet. Ifølge virksomheden er de stjålne data blevet returneret, og der er modtaget en digital bekræftelse på, at materialet er slettet. Det ændrer sagens karakter markant. Det er ikke længere kun en historie om nedbrud midt i eksamensperioden, men om et softwarefirma, der i praksis valgte at forhandle med cyberkriminelle. [1]
Det er usædvanligt, især i en sag med denne rækkevidde. Canvas bruges af tusindvis af uddannelsesinstitutioner og over 30 millioner aktive brugere, og angrebet ramte universiteter og colleges i USA, Canada, Storbritannien og Australien. I de første døgn var fokus på aflyste prøver, utilgængelige kursusrum og kaos omkring aflevering af opgaver. Nu er fokus rykket til noget mere grundlæggende: hvad der blev stjålet, og om nogen realistisk kan vide, at det faktisk er væk. [2] [3]
Hvad Instructure siger at have opnået
Virksomheden oplyser, at aftalen indebærer fire ting: data er leveret tilbage, der er givet en digital bekræftelse på sletning, kunderne ikke vil blive afpresset individuelt som følge af hændelsen, og de berørte institutioner ikke selv skal gå i dialog med angriberne. [4]
Det mest opsigtsvækkende er ikke formuleringen, men begrænsningen i den. Instructure siger ikke, at man med sikkerhed ved, at kopierne er slettet. Man siger i stedet, at man tog alle skridt inden for egen kontrol for at give kunderne mere ro. Det er et bemærkelsesværdigt forsvar, fordi det samtidig indrømmer sagens kerne: der findes ingen fuld garanti, når modparten er en kriminel gruppe.
London-området, Storbritannien – viser den britiske del af angrebet og potentielt berørte universiteter
MapsDet flugter med erfaringerne fra tidligere ransomware- og afpresningssager. Myndigheder har gentagne gange advaret om, at betaling kan finansiere nye angreb, og at løfter om sletning ikke nødvendigvis er noget værd. Da LockBit-gruppen senere selv blev kompromitteret af efterforskere, viste interne data, at stjålne filer i flere tilfælde ikke var blevet slettet, selv efter betaling.
Det vi ved om bruddet, og det vi stadig ikke ved
Tidslinjen er stadig fragmenteret. Instructure har oplyst, at bruddet blev opdaget 29. april. Få dage senere dukkede en løsesumsbesked op på ramte skolers hjemmesider med beskeden "pay or leak", og den velkendte gruppe ShinyHunters tog ansvaret online. FBI aktiverede ressourcer i flere delstater og bad institutioner afvente officiel vejledning, samtidig med at man advarede mod opportunistiske svindlere. [5] [6]
Der cirkulerer fortsat høje tal for omfanget. Trusselsaktører og sikkerhedsrapporter har nævnt omkring 3,5 til 3,65 terabyte data. Det tal er ikke offentligt dokumenteret i detaljer, og der findes endnu ikke en uafhængig teknisk redegørelse, som viser præcist, hvordan mængden er opgjort. Men det er nok til at illustrere, hvorfor sagen er mere end et driftsuheld. [7]
Hvilke data der kan være taget
Det samlede billede peger på, at angriberne fik adgang til oplysninger om studerende, undervisere og administrativt personale. Flere rapporter nævner navne, e-mailadresser, studienumre og interne beskeder som sandsynligt kompromitterede datatyper. Til gengæld er der indtil videre ikke noget, der tyder på, at adgangskoder, fødselsdatoer, offentlige identifikationsnumre eller finansielle data udgør hovedparten af bruddet. [4] [8]
Det er vigtigt, fordi konsekvenserne dermed bevæger sig fra klassisk identitetstyveri til noget mere institutionsnært: kursuskommunikation, brugerrelationer, potentielt undervisningsmateriale og metadata om store dele af universitetsdriften. For en sektor, der er dybt afhængig af ét centralt læringssystem, er den slags data følsomme, også når de ikke er finansielle.
Angrebsvejen er stadig uklar
Det mest centrale hul i den offentlige forklaring er stadig det tekniske. Der foreligger endnu ikke en offentlig redegørelse for angrebsvektor, initial adgang eller præcis hvilke systemer i Instructures miljø der blev kompromitteret. Vi ved derfor ikke, om der var tale om stjålne legitimationsoplysninger, en fejlkonfiguration, et tredjepartsled eller en mere klassisk sårbarhed i applikationsmiljøet.
Det gør det sværere for kunderne at vurdere deres egen risiko. Når leverandøren ikke kan forklare indgangen, er det også uklart, om problemet er lukket strukturelt eller kun midlertidigt inddæmmet.
Betaling er ikke forbudt, men den er juridisk risikabel
I USA findes der ikke et generelt føderalt forbud mod at betale løsesum. Det betyder ikke, at beslutningen er enkel. Betaling kan udløse problemer under sanktionsregler og regler mod hvidvask, især hvis modtageren er knyttet til sanktionerede grupper eller jurisdiktioner. Derfor anbefaler amerikanske myndigheder typisk hurtig kontakt til FBI, CISA og juridiske rådgivere, før en betaling overvejes. [9] [10]
Cyberforsikring kan også spille en rolle. Nogle policer dækker omkostninger til forhandling, hændelseshåndtering og i visse tilfælde selve betalingen eller en forligslignende løsning. Men forsikring ændrer ikke det grundlæggende dilemma: man kan købe tid og måske reducere skade, uden at man kan købe sikker viden om, hvad angriberne bagefter gør med kopier af data. [11] [12]
Sagen rammer også universiteternes egen styring
Canvas-angrebet viser et gammelt problem i ny skala. Universiteter har centraliseret undervisning, kommunikation, aflevering og bedømmelse i få platforme. Det giver effektiv drift i hverdagen, men også ét kritisk fejlpunkt i krisen.
Læren for institutionerne er ikke kun, at backup er vigtig. Det handler også om kontrakter og leverandørstyring. Kunder bør kunne kræve hurtig, teknisk gennemsigtig hændelsesrapportering, klare regler for logdeling, kortere varslingsfrister og dokumentation for, hvordan data segmenteres, hvor længe de opbevares, og hvilke tredjepartsintegrationer der har adgang. Hvis en platform er blevet en livsnerve, skal den behandles som kritisk infrastruktur, også på budgettet.
Bundlinjen
Instructure har sandsynligvis købt sig til ro, ikke til vished. Det kan vise sig at have begrænset skadevirkningerne for millioner af brugere. Det kan også vise sig at være en dyr illusion.
Det afgørende næste skridt er derfor ikke flere forsikringer om, at der foreligger en "digital bekræftelse" på sletning. Det er en troværdig teknisk redegørelse for, hvordan angrebet skete, hvad der præcist blev taget, og hvorfor kunderne skal tro, at samme situation ikke opstår igen. Uden den er betalingen kun den hurtige del af historien. Ikke den afsluttende.
Nævnte virksomheder
Snak om artiklen med andre
Diskuter “Canvas-angreb: Instructure betalte hackerne efter brud” med andre på Threads og følg os for at få flere nyheder døgnet rundt.
Deltag i diskussionen påeller
Læserens bedømmelse af artiklen
Dine bedømmelser hjælper os med at forbedre kvaliteten af både nuværende og fremtidige artikler. Vi bruger både ratings og kommentarer til at forbedre fremtidige artikler og til at revidere artikler, der ikke opfylder vores standarder.
Såfremt det vurderes at en artikel ikke opfylder vores standarder, vil vi revidere den og hurtigst muligt udgive en ny version.
Formatering0 / 10
Nøjagtighed0 / 10
Kvalitet0 / 10