Sprawa wycieku danych z serwisu Instructure/Canvas, która w ostatnim czasie zdominowała doniesienia dotyczące cyberbezpieczeństwa, wkroczyła w nowy etap.
Dane osobowe milionów studentów padły ofiarą kradzieży, a grupa szantażystów ShinyHunters przyznała się do tego wycieku i zwiększyła presję w sprawie żądania okupu, kontaktując się bezpośrednio z użytkownikami platformy Canvas.
Wygląda na to, że to się opłaciło. Na stronie internetowej firmy Instructure poświęconej niedawnemu wyciekowi danych w aktualizacji z dnia 11 maja 2026 r. czytamy:
„Wiemy, że obawy związane z ewentualną publikacją danych dotyczących tego incydentu nadal budzą niepokój wielu klientów. Rozumiemy, jak niepokojące mogą być tego typu sytuacje, a ochrona naszej społeczności pozostaje dla nas najwyższym priorytetem.
„Mając na uwadze tę odpowiedzialność, firma Instructure zawarła porozumienie z osobą nieuprawnioną, która brała udział w tym incydencie”.
Oznacza to, że firma Instructure zapłaciła ShinyHunters. Przynajmniej część tych pieniędzy z pewnością zostanie przeznaczona na sfinansowanie przyszłych operacji związanych z cyberprzestępczością. To, czy firmy powinny w ogóle płacić okup w przypadku ataków ransomware lub wymuszeń, pozostaje przedmiotem kontrowersyjnej debaty i nie zamierzam tutaj ponownie podejmować tej dyskusji.
Nie rozumiem jednak kolejnego zdania w tej aktualizacji:
„Dane zostały nam zwrócone”.
Choć może to brzmieć uspokajająco, w dziedzinie cyberbezpieczeństwa dane nie są czymś w rodzaju pożyczonego laptopa czy zgubionego folderu. Raz skopiowane, mogą być kopiowane w nieskończoność.
Ma to znaczenie, ponieważ w tym przypadku nie chodziło jedynie o chwilowy dostęp. Firma Instructure poinformowała, że nieuprawniony dostęp dotyczył nazw użytkowników, adresów e-mail, nazw kursów, informacji o zapisach oraz wiadomości.
Danych nie da się po prostu „przywrócić”
Kiedy więc firma twierdzi, że dane zostały „zwrócone” i dostarczono„protokoły zniszczenia ”, prawdziwym pytaniem nie jest to, czy atakujący nadal posiadają oryginalne pliki. Chodzi o to, czy sporządzono kopie, czy zostały one udostępnione i komu. Zasadniczo chodzi więc o to, czy faktycznie wyeliminowano dalsze zagrożenia wynikające z naruszenia. Chociaż tego typu cyberprzestępcy zazwyczaj opierają swoje działania na zaufaniu, dane cyfrowe nie mają wbudowanej funkcji gwarantującego ich wycofania.
Dobrą wiadomością jest to, że firma Instructure zapewnia, iż wyciek nie dotyczył haseł, dat urodzenia, numerów identyfikacyjnych ani danych finansowych. Jednak nazwiska, adresy e-mail, szczegóły dotyczące kursów oraz prywatne wiadomości wciąż stanowią wystarczającą pożywkę dla wysoce ukierunkowanych ataków phishingowych i socjotechnicznych, nawet długo po tym, jak temat zniknie z pierwszych stron gazet.
Dla uczniów i ich rodzin nadal aktualne są praktyczne porady zawarte w naszym pierwszymwpisie na blogu:
- Zresetuj hasła związane z Canvas
- W miarę możliwości należy włączyć uwierzytelnianie wieloskładnikowe
- Należy monitorować działania finansowe i kredytowe w miarę jak dzieci dorastają
- Należy uważać na wysoce spersonalizowane ataki phishingowe, w których pojawiają się nazwy prawdziwych szkół, kursów lub nauczycieli
Twoje imię i nazwisko, adres oraz numer telefonu są prawdopodobnie już w sprzedaży.
Firmy zajmujące się handlem danymi gromadzą i sprzedają Twoje dane osobowe każdemu, kto jest skłonny za nie zapłacić.Personal Data Remover Malwarebytes Personal Data Remover je i usuwa Twoje dane, a następnie czuwa nad tym, by tak pozostało.
