Firma Instructure, twórca systemu zarządzania nauczaniem (LMS) Canvas, potwierdziła incydent cybernetyczny oraz wynikające z niego naruszenie bezpieczeństwa danych, które dotknęło jej środowisko hostowane w chmurze.
Grupa ransomware ShinyHunters przyznaje się do przeprowadzenia ataku i twierdzi, że wykradła około 275 milionów rekordów dotyczących uczniów, nauczycieli i pracowników.
Przestępcy przekazali serwisowi BleepingComputer listę obejmującą 8 809 okręgów szkolnych, uczelni i platform edukacyjnych online, których instancje Canvas, jak twierdzą, zostały naruszone, przy czym liczba rekordów w poszczególnych instytucjach wahała się od kilkudziesięciu tysięcy do kilku milionów.
Sprawdź, czy Twoje dane osobowe zostały ujawnione.
Co zrobić, jeśli doszło do wycieku danych Twojego dziecka z serwisu Instructure/Canvas
Jeśli poinformowano Państwa, że Państwa dziecko zostało dotknięte skutkami naruszenia bezpieczeństwa w serwisie Instructure, być może zastanawiają się Państwo, co można zrobić, aby je chronić. Oto kilka praktycznych wskazówek, z których można skorzystać już teraz.
1. Sprawdź, co mówią szkoła i firma Instructure
Zacznij od zapoznania się z komunikatem szkoły lub okręgu szkolnego oraz aktualizacjami opublikowanymi przez firmę Instructure, aby dowiedzieć się, jakie dane dotyczące Twojego dziecka zostały ujawnione (na przykład: imię i nazwisko, adres e-mail, numer identyfikacyjny ucznia lub informacje o kursie). Postępuj zgodnie z zalecanymi przez nich konkretnymi wskazówkami dotyczącymi kont uczniów i śledź kolejne komunikaty na wypadek pojawienia się nowych informacji.
Przede wszystkim upewnij się, że powiadomienie jest autentyczne. Jeśli coś w wiadomości wydaje się podejrzane – na przykład dziwne linki, nacisk na natychmiastowe działanie lub prośby o podanie dodatkowych danych – najpierw to sprawdź. Wejdź bezpośrednio na stronę okręgu lub firmy Instructure i skorzystaj z podanych tam danych kontaktowych, aby to zweryfikować.
2. Zabezpiecz konta szkolne i edukacyjne swojego dziecka
Jeśli Twoje dziecko posiada konto w serwisie Canvas lub podobnym, natychmiast zmień hasło, zwłaszcza jeśli szkoła pozwala uczniom lub rodzicom logować się przy użyciu nazwy użytkownika i hasła zamiast funkcji pojedynczego logowania. Jeśli Twoje dziecko ma zwyczaj używania tych samych haseł (na przykład do serwisu Canvas, poczty elektronicznej i kont w grach), zmień również te hasła.
Nadaj każdemu kontu własne, silne i niepowtarzalne hasło oraz rozważ skorzystanie z rodzinnego menedżera haseł, dzięki czemu będziesz mógł je tworzyć i przechowywać bez konieczności polegania na pamięci. W przypadku młodszych dzieci warto samodzielnie zarządzać tymi danymi logowania i prowadzić listę platform edukacyjnych, z których korzystają.
3. W miarę możliwości włącz uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe (MFA) znacznie utrudnia zalogowanie się na konto przy użyciu samego hasła. Jeśli Twoja szkoła lub okręg szkolny zezwala na stosowanie tej metody w przypadku kont rodziców lub uczniów (na przykład kodu wysyłanego SMS-em, e-mailem lub generowanego w aplikacji uwierzytelniającej), włącz tę funkcję i najlepiej ustaw, aby kody były wysyłane na urządzenie lub do aplikacji, nad którą masz kontrolę.
Przypomnij dziecku, że kody bezpieczeństwa są jak hasła jednorazowe. Nie powinno ich nigdy ujawniać znajomym, nauczycielom ani nikomu, kto podaje się za „pomoc techniczną”, nawet jeśli wiadomość wygląda na pilną lub zawiera elementy identyfikacji wizualnej szkoły.
4. Rozważ zapewnienie dodatkowej ochrony tożsamości osobom niepełnoletnim
Jeśli w wyniku naruszenia ujawniono bardzo wrażliwe dane identyfikacyjne (takie jak numery dowodów osobistych lub numery ubezpieczenia społecznego w niektórych regionach), należy zapytać zarówno szkołę, jak i dostawcę, którego dane zostały naruszone, jakie środki ochrony są oferowane dla nieletnich, np. monitorowanie historii kredytowej lub usługi przywracania tożsamości. W niektórych krajach można również zablokować dostęp do danych nieletniego w celu zapobieżenia otwieraniu nowych kont w jego imieniu.
Nawet jeśli Twoje dziecko jest obecnie zbyt małe, by posiadać historię kredytową, warto odnotować ten fakt, aby pamiętać o sprawdzeniu jego danych, gdy osiągnie odpowiedni wiek.
5. Uważaj na kolejne próby oszustwa
Osoby atakujące chętnie wykorzystują dane wykradzione z platform edukacyjnych, aby nadać wiadomościom phishingowym i oszukańczym bardziej przekonujący charakter, podając prawdziwe nazwy szkół, nazwiska nauczycieli lub nazwy kursów. Należy zachować szczególną ostrożność w przypadku e-maili i SMS-ów, które rzekomo pochodzą ze szkoły, okręgu szkolnego lub firmy Instructure i w których prosi się o „potwierdzenie” danych logowania, otwarcie nieoczekiwanych załączników (np. „nowych zadań”) lub uiszczenie opłat za pomocą nietypowych metod.
Zasadniczo należy unikać klikania linków zawartych w niechcianych wiadomościach dotyczących naruszenia bezpieczeństwa. Zamiast tego należy otworzyć nowe okno przeglądarki i przejść na oficjalną stronę lub do aplikacji w zwykły sposób, a następnie zalogować się, aby sprawdzić wiadomości.
Co cyberprzestępcy wiedzą o Tobie?
Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.
