Компания Instructure, разработчик системы управления обучением (LMS) Canvas, подтвердила факт киберинцидента и последующую утечку данных, затронувшую её облачную среду.
Группа вымогателей ShinyHunters взяла на себя ответственность за эту атаку и заявила, что похитила около 275 миллионов записей, касающихся учащихся, преподавателей и сотрудников.
Преступники предоставили сайту BleepingComputer список из 8 809 школьных округов, университетов и онлайн-платформ для обучения, чьи экземпляры Canvas, по их утверждению, подверглись взлому; количество утечек данных по каждому учреждению варьировалось от десятков тысяч до нескольких миллионов записей.
Проверьте, не были ли ваши личные данные раскрыты.
Что делать, если данные вашего ребенка в Instructure/Canvas стали доступны посторонним
Если вам сообщили, что ваш ребенок пострадал от утечки данных в Instructure, вы, возможно, задаетесь вопросом, что можно сделать для его защиты. Вот несколько практических мер, которые вы можете принять прямо сейчас.
1. Ознакомьтесь с информацией, предоставленной школой и компанией Instructure
Начните с ознакомления с уведомлением от школы или школьного округа, а также с обновлений от самой компании Instructure, чтобы понять, какие данные вашего ребенка были затронуты (например: имя, адрес электронной почты, идентификационный номер учащегося или информация о курсах). Выполните все конкретные рекомендации, касающиеся учетных записей учащихся, и следите за последующими сообщениями на случай появления новой информации.
Прежде всего убедитесь, что уведомление является подлинным. Если что-либо в сообщении выглядит подозрительно — например, странные ссылки, призыв действовать немедленно или просьбы предоставить дополнительные данные — сначала проверьте это. Перейдите непосредственно на сайт округа или Instructure и воспользуйтесь указанными там контактными данными для проверки.
2. Заблокируйте школьные и учебные учетные записи вашего ребенка
Если у вашего ребенка есть учетная запись в Canvas или в других подобных сервисах, немедленно смените пароль, особенно если в школе разрешено входить в систему с помощью логина и пароля, а не через систему единого входа. Если ваш ребенок часто использует одни и те же пароли (например, один и тот же для Canvas, электронной почты и игровых аккаунтов), смените также и эти пароли.
Установите для каждой учетной записи свой надежный и уникальный пароль и подумайте об использовании семейного менеджера паролей, чтобы создавать и хранить их, не полагаясь на свою память. Для младших детей вам, возможно, стоит самостоятельно управлять этими учетными данными и вести список образовательных платформ, которыми они пользуются.
3. По возможности включите многофакторную аутентификацию
Многофакторная аутентификация (MFA) значительно затрудняет взлом учетной записи с помощью одного только пароля. Если ваша школа или школьный округ разрешают использовать эту функцию для учетных записей родителей или учащихся (например, код, отправляемый по SMS, электронной почте или генерируемый в приложении-аутентификаторе), включите её и, по возможности, настройте отправку кодов на устройство или в приложение, которое вы контролируете.
Напомните ребенку, что коды безопасности — это своего рода временные пароли. Он ни в коем случае не должен сообщать их друзьям, учителям или людям, представляющимся «специалистами по ИТ-поддержке», даже если сообщение выглядит срочным или оформлено в фирменном стиле школы.
4. Рассмотрите возможность дополнительной защиты личных данных несовершеннолетних
Если в результате утечки были раскрыты особо конфиденциальные идентификационные данные (такие как номера национальных удостоверений личности или номера социального страхования в некоторых регионах), уточните как у школы, так и у поставщика услуг, у которого произошла утечка, какие меры защиты предлагаются для несовершеннолетних, например услуги по мониторингу кредитной истории или восстановлению личности. В некоторых странах вы также можете наложить «кредитный замороз» или аналогичную блокировку на досье несовершеннолетнего, чтобы предотвратить открытие новых счетов на его имя.
Даже если ваш ребенок пока слишком мал, чтобы у него была кредитная история, стоит записать этот случай, чтобы не забыть проверить его данные, когда он подрастет.
5. Будьте начеку: не поддавайтесь последующим мошенническим схемам
Злоумышленники любят повторно использовать похищенные данные с образовательных платформ, чтобы сделать фишинговые и мошеннические сообщения более убедительными, упоминая названия реальных школ, имена учителей или курсы. Будьте особенно осторожны с электронными письмами и SMS-сообщениями, которые якобы приходят от школы, школьного округа или компании Instructure и в которых вас просят «подтвердить» данные для входа, открыть неожиданные вложения (например, «новые задания») или оплатить сборы необычными способами.
Как правило, не следует переходить по ссылкам в нежелательных сообщениях, касающихся утечки данных. Вместо этого откройте новое окно браузера и перейдите на официальный сайт или в приложение, как обычно, а затем войдите в систему, чтобы проверить наличие сообщений.
Что киберпреступники знают о вас?
Воспользуйтесь бесплатной функцией сканирования цифрового следа Malwarebytes, чтобы проверить, не была ли ваша личная информация раскрыта в Интернете.
