Instructure, l'azienda che ha sviluppato il sistema di gestione dell'apprendimento (LMS) Canvas, ha confermato un incidente informatico e la conseguente violazione dei dati che ha interessato il proprio ambiente ospitato su cloud.
Il gruppo di ransomware ShinyHunters rivendica la responsabilità dell'attacco e afferma di aver sottratto circa 275 milioni di dati relativi a studenti, insegnanti e personale scolastico.
I criminali hanno fornito a BleepingComputer un elenco di 8.809 distretti scolastici, università e piattaforme di formazione online le cui istanze di Canvas, secondo quanto da loro affermato, sarebbero state compromesse, con un numero di record per istituzione che varia da decine di migliaia a diversi milioni.
Verifica se i tuoi dati personali sono stati divulgati.
Cosa fare se i dati Instructure/Canvas di tuo figlio sono stati compromessi
Se vi è stato comunicato che vostro figlio è stato coinvolto nella violazione dei dati di Instructure, forse vi starete chiedendo cosa potete fare per proteggerlo. Ecco alcune misure concrete che potete adottare fin da subito.
1. Verifica cosa dicono la scuola e Instructure
Inizia consultando la comunicazione inviata dalla scuola o dal distretto scolastico e gli aggiornamenti forniti da Instructure per capire quali dati relativi a tuo figlio sono stati interessati (ad esempio: nome, indirizzo e-mail, codice studente o informazioni sul corso). Segui le istruzioni specifiche fornite per gli account degli studenti e tieni d'occhio eventuali messaggi di aggiornamento nel caso in cui dovessero emergere nuove informazioni.
Prima di tutto, assicurati che la notifica sia autentica. Se nel messaggio c'è qualcosa che ti sembra sospetto, come link strani, pressioni affinché tu agisca immediatamente o richieste di ulteriori dati, verifica subito la cosa. Vai direttamente sul sito del distretto o di Instructure e usa i recapiti indicati per verificare.
2. Blocca gli account scolastici e di apprendimento di tuo figlio
Se vostro figlio possiede un account Canvas o un account correlato, modificate immediatamente la password, soprattutto se la scuola consente agli studenti o ai genitori di accedere utilizzando nome utente e password anziché il sistema di autenticazione unica (single sign-on). Se vostro figlio tende a riutilizzare le password (ad esempio, utilizzando la stessa password per Canvas, la posta elettronica e gli account di gioco), modificate anche quelle.
Assegnate a ogni account una password forte e unica e valutate l'utilizzo di un gestore di password per tutta la famiglia, in modo da poterle creare e archiviare senza dover fare affidamento sulla memoria. Per i bambini più piccoli, potreste gestire voi stessi queste credenziali e tenere un elenco delle piattaforme didattiche che utilizzano.
3. Attivare l'autenticazione a più fattori, ove possibile
L'autenticazione a più fattori (MFA) rende molto più difficile l'accesso a un account utilizzando solo una password. Se la tua scuola o il tuo distretto scolastico lo consentono per gli account dei genitori o degli studenti (ad esempio, un codice inviato tramite SMS, e-mail o generato da un'app di autenticazione), attivala e, se possibile, fai in modo che i codici vengano inviati a un dispositivo o a un'app di cui hai il controllo.
Ricorda a tuo figlio che i codici di sicurezza sono come password temporanee. Non dovrebbe mai rivelarli ad amici, insegnanti o a chiunque si presenti come "supporto informatico", anche se il messaggio sembra urgente o riporta il logo della scuola.
4. Valutare l'adozione di misure aggiuntive di protezione dell'identità per i minori
Se la violazione ha interessato dati identificativi particolarmente sensibili (come il codice fiscale o il numero di previdenza sociale in alcune regioni), chiedete sia alla scuola che al fornitore coinvolto quali misure di protezione vengono offerte ai minori, come il monitoraggio del credito o i servizi di ripristino dell'identità. In alcuni paesi è anche possibile richiedere il blocco del credito o un provvedimento analogo sul fascicolo di un minore per impedire l'apertura di nuovi conti a suo nome.
Anche se tuo figlio è ancora troppo piccolo per avere una storia creditizia, vale la pena prendere nota di questo episodio, così ti ricorderai di controllare i suoi dati una volta che avrà raggiunto l'età necessaria.
5. Stai all'erta per evitare ulteriori truffe
Gli hacker tendono a riutilizzare i dati rubati dalle piattaforme didattiche per rendere più convincenti i messaggi di phishing e le truffe, citando nomi reali di scuole, insegnanti o corsi. Prestate particolare attenzione alle e-mail e ai messaggi di testo che sembrano provenire dalla scuola, dal distretto scolastico o da Instructure e che vi chiedono di “confermare” i dati di accesso, aprire allegati inaspettati (come “nuovi compiti”) o pagare quote tramite metodi insoliti.
Come regola generale, evita di cliccare sui link contenuti nei messaggi indesiderati relativi alla violazione. Apri invece una nuova finestra del browser e vai sul sito ufficiale o sull'app come faresti normalmente, quindi effettua l'accesso da lì per controllare se ci sono messaggi.
Cosa sanno di te i criminali informatici?
Utilizza la scansione gratuita Digital Footprint Malwarebytes per verificare se le tue informazioni personali sono state divulgate online.
