மாணவர் தரவு கசிவை Instructure உறுதிப்படுத்தியது; அதேசமயம் extortion குழு பெருமளவு திருட்டு எனக் கூறுகிறது

பரவலாக பயன்படுத்தப்படும் கல்வி தளம் ஒரு தீவிரமான கசிவை எதிர்கொள்கிறது

Canvas கற்றல் தளத்தின் பின்னணியில் உள்ள கல்வி தொழில்நுட்ப நிறுவனமான Instructure, மாணவர்களின் தனிப்பட்ட தகவல்களை உள்ளடக்கிய ஒரு தரவு கசிவை உறுதிப்படுத்தியுள்ளது. இந்தச் சம்பவம் கூடுதல் கவனத்தை ஈர்த்துள்ளது, ஏனெனில் ஹேக்கிங் மற்றும் extortion குழுவான ShinyHunters இதற்கு தானே பொறுப்பென்று கூறி, நிறுவனம் இதுவரை பொதுமக்களுக்கு உறுதிப்படுத்தியுள்ள குறைந்த விவரங்களைக் காட்டிலும் இந்த கசிவு மிக அதிகமாக இருக்கலாம் என கூறுகிறது.

குற்றம்சாட்டப்பட்டு திருடப்பட்ட தரவின் ஒரு மாதிரியை அடிப்படையாகக் கொண்ட செய்திகளின்படி, வெளிப்படுத்தப்பட்ட தகவலில் மாணவர்களின் பெயர்கள், தனிப்பட்ட மின்னஞ்சல் முகவரிகள், மற்றும் ஆசிரியர்கள் மற்றும் மாணவர்கள் இடையே பரிமாறப்பட்ட செய்திகள் அடங்குகின்றன. இவை Instructure எடுத்துச் செல்லப்பட்டதாக ஒப்புக்கொண்ட அதே பொதுவான தரவு வகைகளாகவும் உள்ளன. TechCrunch அமெரிக்காவில் உள்ள இரண்டு பள்ளிகளுடன் தொடர்புடைய மாதிரி பதிவுகளை ஆய்வு செய்தது; ஒன்று Massachusetts-இலும் மற்றொன்று Tennessee-இலும் உள்ளது, ஆனால் அவற்றின் உறுதிப்படுத்தப்பட்ட பாதிப்பு நிலை சுயாதீனமாக நிறுவப்படாததால் அந்த நிறுவனங்களை அது அடையாளப்படுத்தவில்லை.

பள்ளிகள், குடும்பங்கள், மற்றும் ஒழுங்குபடுத்துநர்கள் ஆகியோருக்கு, இந்தச் சம்பவம் கல்வி தொழில்நுட்பத்தில் மீண்டும் மீண்டும் தோன்றும் ஒரு பிரச்சினையை வலியுறுத்துகிறது: பாடநெறி, தொடர்பாடல், மற்றும் அடையாளத் தரவை மையப்படுத்த உருவாக்கப்பட்ட தளங்கள், நிதி லாபத்தை நோக்கமாகக் கொண்ட சைபர் குற்றக் குழுக்களுக்கு மிகுந்த ஈர்ப்பான இலக்குகளாக மாற முடியும்.

என்ன வெளிப்படுத்தப்பட்டிருக்கலாம்

அறிக்கையில் விவரிக்கப்பட்ட மாதிரி தரவில், ஒரு பள்ளிக்காக பெயர்கள், மின்னஞ்சல் முகவரிகள், மற்றும் சில தொலைபேசி எண்கள் கொண்ட செய்திகள் இருந்தன; மற்றொரு பள்ளிக்காக மாணவர்களின் முழுப் பெயர்கள் மற்றும் மின்னஞ்சல் முகவரிகள் இருந்தன. குறிப்பிடத்தக்கது என்னவென்றால், அந்த மாதிரியில் கடவுச்சொற்கள் அல்லது Instructure கசிவால் பாதிக்கப்படவில்லை என்று கூறிய பிற தரவு வகைகள் எதுவும் இல்லை.

இந்த விவரம் முக்கியமானது, ஏனெனில் அது உடனடி ஆபத்தை குறைக்கிறது; ஆனால் முற்றிலும் நீக்கவில்லை. கடவுச்சொற்கள் இல்லாவிட்டாலும், மாணவர் மற்றும் பணியாளர் தொடர்பு விவரங்கள், உள் செய்திகள், மற்றும் பள்ளியுடன் இணைந்த தொடர்பாடல்கள் கொண்ட தரவுத்தளம் phishing, தொந்தரவு, மோசடி, அல்லது எதிர்கால அடையாளத் தாக்குதல்களுக்கு பயன்படுத்தப்படலாம். செய்தி உள்ளடக்கம், தளத்தை விட்டு வெளியே செல்லவே கூடாது என நினைக்கப்பட்ட தனிப்பட்ட மாணவர்-ஆசிரியர் உரையாடல்களையும் வெளிப்படுத்தக்கூடும்.

Canvas, பணிகளை, பாடநெறிகளை, மற்றும் தொடர்பாடலை நிர்வகிக்க பயன்படுத்தப்பட்டு, பள்ளி செயல்பாடுகளில் ஆழமாக இணைந்துள்ளது. இப்படிப்பட்ட பங்கு கொண்ட சேவை பாதிக்கப்பட்டால், பிரச்சினை வெறும் தொழில்நுட்ப செயலிழப்பு மட்டுமல்ல. சிறார்களையும் கல்வியாளர்களையும் பற்றிய நுணுக்கமான தகவல்கள் பள்ளிகள் எவ்வாறு சேமிக்கின்றன, அனுப்புகின்றன என்பதிலான நம்பிக்கையையும் அது பாதிக்கிறது.

ShinyHunters-ன் கூற்றுகள் உறுதிப்படுத்தப்பட்டதைவிட மிகப் பெரியவை

ShinyHunters, சுமார் 8,800 பள்ளிகள் பாதிக்கப்பட்டதாகக் கூறப்படும் ஒரு பட்டியல் தங்களிடம் இருப்பதாக TechCrunch-க்கு தெரிவித்தது. இந்தக் குழு, உலகளவில் சுமார் 9,000 பள்ளிகளிலிருந்து தரவு கசிந்ததாகவும், 275 மில்லியன் நபர்களைப் பற்றிய தகவல்கள் மற்றும் 231 மில்லியன் தனித்துவமான மின்னஞ்சல் முகவரிகள் இதில் அடங்கியிருந்ததாகவும் கூறியது. இந்த எண்கள் இன்னும் உறுதிப்படுத்தப்படவில்லை.

உறுதிப்படுத்தப்பட்ட உண்மைகள் மற்றும் extortion குழுவின் கதை இடையிலான இந்த இடைவெளி, பெரிய அளவிலான கசிவு வழக்குகளில் சாதாரணமானது. நிதி நோக்கமுடைய செயற்பாட்டாளர்கள், பாதிக்கப்பட்டவர்களை அழுத்தம் கொடுக்கவும், ஊடக கவனத்தை ஈர்க்கவும், சம்பவத்தின் அளவை பெரிதுபடுத்துவது வழக்கம். மூல உரை, இப்படிப்பட்ட குழுக்கள் தங்களின் கூற்றுகளை அதிகப்படுத்துவது வழக்கம் என்பதை வெளிப்படையாகக் குறிப்பிடுகிறது.

என்றாலும், கதையின் குறைந்த நம்பகத்தன்மை கொண்ட கூறுகளை முற்றிலும் புறக்கணிக்க முடியாது. Instructure 8,000க்கும் மேற்பட்ட நிறுவனங்களுக்கு சேவை அளிப்பதாக கூறுவதால், கூறப்பட்ட அளவு குறைந்தபட்சம் திசை ரீதியாக ஆய்வு செய்யத் தகுந்த அளவு சாத்தியமானதாக இருக்கிறது. ஆனால் இப்போதைக்கு மிக நியாயமான முடிவு இன்னும் குறுகியது: மாணவர் தொடர்புடைய தரவு வெளிப்படுத்தப்பட்டுள்ளது, பத்திரிகையாளர்கள் ஆய்வு செய்த மாதிரி பதிவுகள் நிறுவனத்தின் ஒப்புதலுடன் பொருந்துகின்றன, மேலும் பாதிக்கப்பட்ட மொத்த நிறுவனங்கள் மற்றும் நபர்களின் எண்ணிக்கை இன்னும் தீர்மானிக்கப்படவில்லை.

நிறுவனத்தின் பதில் முக்கிய கேள்விகளைத் திறந்தவிட்டுள்ளது

மேலும் விவரம் கேட்டபோது, ஒரு Instructure செய்தித் தொடர்பாளர் நேரடியாக பதிலளிக்காமல், கேள்விகளை நிறுவனத்தின் அதிகாரப்பூர்வ சம்பவப் புதுப்பிப்புகளுக்கு திருப்பினார். செவ்வாய்க்கிழமை நிலவரப்படி, Canvas உள்ளிட்ட சில தயாரிப்புகள் பராமரிப்புக்குப் பிறகு மீட்டமைக்கப்பட்டதாக நிறுவனம் கூறியது.

அந்த மீட்பு, நிறுவனம் கட்டுப்பாடு மற்றும் மீட்பு கட்டத்துக்குள் நகர்ந்திருப்பதைக் காட்டுகிறது; ஆனால் மிக முக்கியமான விஷயங்களைச் சுற்றியுள்ள பொதுத் தெளிவின்மை இன்னும் உள்ளது. அவற்றில்: தாக்குதலாளர்கள் அணுகலை எவ்வாறு பெற்றனர், அவர்கள் சூழலில் எவ்வளவு நேரம் இருந்தனர், பள்ளி மாவட்டங்களுக்கு தனிப்பட்ட அறிவிப்புகள் கிடைத்தனவா, சிறார்களுக்குச் சொந்தமான தரவு கூடுதல் அறிக்கை கடமைகளுக்கு உட்படுமா, மற்றும் பாதிக்கப்பட்ட பயனர்கள் அடுத்ததாக எத்தகைய பாதுகாப்பு நடவடிக்கைகளை எடுக்க வேண்டும் என்பவை அடங்கும்.

இந்தப் பதிலளிக்கப்படாத கேள்விகள் சிறியவை அல்ல. K-12 மற்றும் உயர்கல்வியில், சம்பவத்திற்கு பதிலளிக்கும் செயல் பல்வேறு சட்ட மற்றும் தொழில்நுட்ப திறன்களைக் கொண்ட பல நிறுவனங்களை உள்ளடக்கியிருக்கும். தள மட்டத்தில் நடந்த ஒரு கசிவு, பள்ளிகளை விவரங்களுக்கு விற்பனையாளரையே நம்பியே காத்திருக்கச் செய்யும்; அதே நேரத்தில் பெற்றோர், மாணவர்கள், மற்றும் மாநில அதிகாரிகளின் உடனடி பதிலளிப்பு அழுத்தத்தையும் உருவாக்கும்.

இந்தக் கசிவு ஏன் ஒரு நிறுவனத்தை விடப் பெரிதாக முக்கியமானது

Instructure சம்பவம் ஒரு பெரிய முறைமையில் பொருந்துகிறது: தாக்குதலாளர்கள், ஒரு சேவை வழங்குநர் மூலம் பெரிய மக்கள் தொகைகளை ஒருங்கிணைக்கும் அமைப்புகளை அதிகமாக குறிவைக்கின்றனர். பள்ளிகள் மற்றும் பல்கலைக்கழகங்கள் குறிப்பாக பாதிக்கப்படக்கூடியவை, ஏனெனில் அவை தொடர்பாடல்கள், பட்டியல்கள், பயனர் அடையாளங்கள், மற்றும் நிறுவன வேலைநடவடிக்கைகளை ஒரே இடத்தில் குவிக்கும் மென்பொருளை சார்ந்துள்ளன.

ஒரு குறுகிய இலக்குடைய enterprise கசிவைப் போல அல்லாமல், ஒரு முக்கிய கல்வி தளத்தில் வெற்றிகரமான தாக்குதல் ஆயிரக்கணக்கான நிறுவனங்களுக்கு ஒரே நேரத்தில் பரவக்கூடும். இது தாக்குதலாளருக்குத் தளவையும், பாதுகாப்பாளர்களுக்குச் சிக்கலையும் அதிகரிக்கிறது. மேலும், vendor security நடைமுறைகள், ஒப்பந்த மேற்பார்வை, மற்றும் மாணவர் தரவு எங்கே உள்ளது என்பதை பள்ளிகள் எவ்வளவு நன்றாகப் புரிந்துள்ளன என்பதற்கான முக்கியத்துவத்தையும் உயர்த்துகிறது.

புகழ்மானக் கோணமும் உள்ளது. கல்வி தளங்கள் பொதுவாக வசதி, இணைப்பு, மற்றும் டிஜிட்டல் அணுகலை முன்னிறுத்தி விளம்பரப்படுத்துகின்றன. இப்படிப்பட்ட கசிவுகள் ஒரு கடினமான கேள்வியை எழுப்புகின்றன: அந்த நன்மைகளுக்கு இணையான அளவில் தரவு குறைப்பில், பிரிவாக்கத்தில், மற்றும் கசிவு தாங்குதன்மையில் முதலீடு செய்யப்பட்டுள்ளதா என்பது.

இப்போது, இந்தச் சம்பவத்தின் உறுதிப்படுத்தப்பட்ட அளவு தனக்கே போதுமான அளவு தீவிரமானது. மாணவர்களின் பெயர்கள், தனிப்பட்ட மின்னஞ்சல் முகவரிகள், மற்றும் ஆசிரியர்-மாணவர் செய்திகள் நுணுக்கமான பதிவுகள், குறிப்பாக இதில் சிறார்கள் ஈடுபட்டிருக்கக்கூடிய நிலையில். Instructure அல்லது சுயாதீன விசாரணையாளர்கள் மேலும் விரிவான கண்டறிதல்களை வெளியிடும் வரை, Canvas மற்றும் தொடர்புடைய தயாரிப்புகளை பயன்படுத்தும் பள்ளிகள் இந்தக் கசிவை ஒரு சாத்தியமான பரவலான வெளிப்படுத்தல் நிகழ்வாகவே கருதக்கூடும்; தனித்த தொழில்நுட்ப இடையூறாக அல்ல.

அடுத்த கட்டம், இது வெளிப்படையான பதிலளிப்பு பற்றிய ஒரு வழக்குப்பயில்வாக மாறுமா, அல்லது முக்கிய தளக் கசிவுகளுக்குப் பிறகு முக்கிய விவரங்கள் எவ்வளவு மெதுவாக வெளிவருகின்றன என்பதற்கான இன்னொரு உதாரணமா என்பதை தீர்மானிக்கும். எந்த வழியிலாயினும், கல்வி உட்கட்டமைப்பு இப்போது ஒழுங்கமைக்கப்பட்ட சைபர் குற்றத்தின் நேரடி இலக்கில் இருப்பதை இது ஏற்கனவே நினைவூட்டுகிறது.

இந்தக் கட்டுரை TechCrunch செய்திகளை அடிப்படையாகக் கொண்டது. அசல் கட்டுரையைப் படிக்கவும்.