విస్తృతంగా ఉపయోగించే విద్యా ప్లాట్‌ఫారమ్ ఒక తీవ్రమైన బ్రీచ్‌తో వ్యవహరిస్తోంది

Canvas లెర్నింగ్ ప్లాట్‌ఫారమ్ వెనుక ఉన్న విద్యా సాంకేతిక సంస్థ Instructure, విద్యార్థుల వ్యక్తిగత సమాచారాన్ని కలిగిన డేటా బ్రీచ్‌ను నిర్ధారించింది. హ్యాకింగ్ మరియు extortion గ్రూప్ ShinyHunters దీనికి తామే బాధ్యులమని చెప్పడం, అలాగే సంస్థ ఇప్పటివరకు బహిరంగంగా నిర్ధారించిన పరిమిత వివరాల కంటే ఈ బ్రీచ్ మరింత విస్తృతంగా ఉండొచ్చని చెప్పడంతో ఈ ఘటనపై అదనపు పరిశీలన వచ్చింది.

కథనం ప్రకారం, దొంగిలించబడినట్లు చెప్పబడిన డేటా నమూనాపై ఆధారపడిన రిపోర్టింగ్‌లో, బయటపడిన సమాచారంలో విద్యార్థుల పేర్లు, వ్యక్తిగత ఇమెయిల్ చిరునామాలు, మరియు ఉపాధ్యాయులు-విద్యార్థుల మధ్య మార్పిడైన సందేశాలు ఉన్నాయి. ఇవే Instructure తీసుకుపోయారని అంగీకరించిన సాధారణ డేటా వర్గాలు కూడా. TechCrunch అమెరికాలోని రెండు పాఠశాలలకు సంబంధించిన నమూనా రికార్డులను పరిశీలించింది, ఒకటి Massachusetts‌లో, మరొకటి Tennessee‌లో, అయితే వాటి స్థితి నిర్ధారిత బాధితులుగా స్వతంత్రంగా స్థాపించబడనందున సంస్థల పేర్లను వెల్లడించలేదు.

పాఠశాలలు, కుటుంబాలు, మరియు నియంత్రణ సంస్థల కోసం, ఈ ఘటన విద్యా సాంకేతిక రంగంలో తరచుగా కనిపించే సమస్యను స్పష్టంగా చూపిస్తోంది: కోర్సు, కమ్యూనికేషన్, మరియు గుర్తింపు డేటాను ఒకే చోట కేంద్రీకరించడానికి రూపొందించిన ప్లాట్‌ఫారమ్‌లు ఆర్థిక ప్రేరణ గల సైబర్ నేరగాళ్లకు అత్యంత ఆకర్షణీయమైన లక్ష్యాలుగా మారవచ్చు.

ఏది బయటపడినట్లు కనిపిస్తోంది

రిపోర్టులో వివరించిన నమూనా డేటాలో, ఒక పాఠశాల కోసం పేర్లు, ఇమెయిల్ చిరునామాలు, మరియు కొన్ని ఫోన్ నంబర్లు ఉన్న సందేశాలు ఉన్నాయి; మరో పాఠశాల కోసం విద్యార్థుల పూర్తి పేర్లు మరియు ఇమెయిల్ చిరునామాలు ఉన్నాయి. గమనార్హంగా, ఆ నమూనాలో పాస్‌వర్డులు లేదా Instructure బ్రీచ్‌తో ప్రభావితం కాలేదని చెప్పిన ఇతర డేటా వర్గాలు లేవు.

ఆ వివరాలు ముఖ్యమైనవి, ఎందుకంటే అవి తక్షణ ప్రమాదాన్ని తగ్గిస్తాయి, కానీ పూర్తిగా తొలగించవు. పాస్‌వర్డులు లేకపోయినా, విద్యార్థులు మరియు సిబ్బంది సంప్రదింపు వివరాలు, అంతర్గత సందేశాలు, మరియు పాఠశాల సంబంధిత కమ్యూనికేషన్‌లతో కూడిన డేటాబేస్‌ను phishing, వేధింపులు, మోసం, లేదా భవిష్యత్ గుర్తింపు దాడుల కోసం ఉపయోగించవచ్చు. సందేశాల లోపలి విషయం, ప్లాట్‌ఫారమ్‌ను వదిలి వెళ్లకూడదనుకున్న వ్యక్తిగత విద్యార్థి-ఉపాధ్యాయ మార్పిడులను కూడా బయటపెట్టవచ్చు.

Canvas పాఠశాల కార్యకలాపాల్లో లోతుగా భాగమై ఉంది, అసైన్‌మెంట్‌లు, కోర్సు పనులు, మరియు కమ్యూనికేషన్‌ను నిర్వహించడానికి ఉపయోగిస్తారు. అలాంటి పాత్ర ఉన్న సేవ compromize అయితే, సమస్య కేవలం సాంకేతిక డౌన్‌టైమ్ మాత్రమే కాదు. అది మైనర్లు మరియు విద్యావేత్తల గురించి సున్నితమైన సమాచారాన్ని పాఠశాలలు ఎలా నిల్వ చేస్తాయి, ఎలా పంపిస్తాయి అనే నమ్మకాన్ని కూడా దెబ్బతీస్తుంది.

Kaspersky suspects Chinese hackers planted a backdoor into Daemon Tools in 'widespread' attack | TechCrunch
More in News

Daemon Tools supply-chain backdoor ఇంకా క్రియాశీలంగా ఉన్న campaignలో Windows వినియోగదారులను లక్ష్యంగా చేస్తోందని Kaspersky చెబుతోంది

Daemon Tools‌లో ఒక malicious backdoor నాటబడిందని, దాన్ని ఇంకా క్రియాశీలంగా ఉన్న campaignలో ఉపయోగించారని, అది వేలాది infection attempts మరియు కనీసం ఒక డజను follow-on compromises‌కు దారితీసిందని Kaspersky చెబుతోంది.

Read article

ShinyHunters చేసిన దావాలు నిర్ధారిత దానికంటే చాలా పెద్దవి

ShinyHunters తమ వద్ద సుమారు 8,800 పాఠశాలలు ప్రభావితమయ్యాయని చెప్పబడే జాబితా ఉందని TechCrunch‌కు తెలిపింది. ఈ గ్రూప్, ప్రపంచవ్యాప్తంగా దాదాపు 9,000 పాఠశాలల డేటా ఈ బ్రీచ్‌లో భాగమని, అలాగే 275 మిలియన్ మంది గురించి సమాచారం మరియు 231 మిలియన్ ప్రత్యేక ఇమెయిల్ చిరునామాలు ఉన్నాయని కూడా పేర్కొంది. ఈ సంఖ్యలు ఇంకా ధృవీకరించబడలేదు.

నిర్ధారిత వాస్తవాలు మరియు extortion గ్రూప్ కథనం మధ్య ఈ అంతరం పెద్ద బ్రీచ్ కేసుల్లో సాధారణం. ఆర్థిక ప్రేరణతో పనిచేసే నేరగాళ్లు, బాధితులపై ఒత్తిడి తేవడానికి మరియు మీడియా దృష్టిని ఆకర్షించడానికి సంఘటన పరిమాణాన్ని పెంచి చెబుతారు. మూల పాఠ్యం కూడా ఇలాంటి గ్రూపులు తమ దావాలను అతిశయోక్తిగా చెబుతాయని స్పష్టంగా పేర్కొంటుంది.

అయితే, కథలోని తక్కువ విశ్వసనీయ అంశాలను పూర్తిగా విస్మరించలేం. Instructure 8,000కంటే ఎక్కువ సంస్థలకు సేవలు అందిస్తుందని చెబుతోంది, కాబట్టి ఆరోపణలో ఉన్న స్థాయి కనీసం దిశాపరంగా అయినా జాగ్రత్తగా విచారణ చేయడానికి తగినంత సాధ్యంగా ఉంది. ఇప్పటికైతే, అత్యంత సమర్థించదగిన నిర్ణయం మరింత సంకుచితంగా ఉంది: విద్యార్థులకు సంబంధించిన డేటా బయటపడింది, జర్నలిస్టులు పరిశీలించిన నమూనా రికార్డులు కంపెనీ అంగీకారంతో సరిపోతున్నాయి, మరియు ప్రభావిత సంస్థలు, వ్యక్తుల మొత్తం సంఖ్య ఇంకా స్పష్టం కాలేదు.

కంపెనీ స్పందన కీలక ప్రశ్నలను తెరిచి ఉంచింది

ఇంకా వివరాలు అడిగినప్పుడు, Instructure ప్రతినిధి నేరుగా సమాధానం ఇవ్వకుండా ప్రశ్నలను కంపెనీ అధికారిక ఇన్సిడెంట్ అప్‌డేట్స్‌కు తిరిగి మళ్లించారు. మంగళవారం నాటికి, Canvas సహా కొన్ని ఉత్పత్తులు నిర్వహణ తర్వాత పునరుద్ధరించబడ్డాయని కంపెనీ తెలిపింది.

ఆ పునరుద్ధరణ ద్వారా కంపెనీ నియంత్రణ మరియు రికవరీ దశలోకి ప్రవేశించిందని తెలుస్తోంది, కానీ ప్రజా అనిశ్చితి ఇంకా అత్యంత ప్రభావవంతమైన అంశాలపై కొనసాగుతోంది. వాటిలో: దాడి చేసేవారు ఎలా యాక్సెస్ పొందారు, వారు వాతావరణంలో ఎంతకాలం ఉన్నారు, పాఠశాల జిల్లాలకు వ్యక్తిగత నోటీసులు వచ్చాయా, మైనర్లకు చెందిన డేటాపై అదనపు రిపోర్టింగ్ బాధ్యతలు వర్తిస్తాయా, మరియు ప్రభావిత వినియోగదారులు తదుపరి ఏ రక్షణ చర్యలు తీసుకోవాలి అన్నవి ఉన్నాయి.

ఆ సమాధానాల్లేని ప్రశ్నలు తక్కువవి కావు. K-12 మరియు ఉన్నత విద్యలో, ఇన్సిడెంట్ స్పందన అనేక చట్టపరమైన మరియు సాంకేతిక సామర్థ్యాలున్న అనేక సంస్థలను కలిగి ఉంటుంది. ప్లాట్‌ఫారమ్ స్థాయి బ్రీచ్ పాఠశాలలను వివరాల కోసం విక్రేతపై ఆధారపడేలా చేయవచ్చు, అదే సమయంలో తల్లిదండ్రులు, విద్యార్థులు, మరియు రాష్ట్ర అధికారుల నుంచి తక్షణ సమాధానాల కోసం ఒత్తిడిని ఎదుర్కోవాల్సి వస్తుంది.

A GameStop retail store inside a mall.
More in News

eBayపై GameStop వేసిన $55.5 బిలియన్ బిడ్ మీమ్-యుగ ఆకాంక్షల పరిమితులను పరీక్షిస్తోంది

GameStop eBay కోసం $55.5 బిలియన్ విలువైన అనధికారిక ఆఫర్ చేసింది; తన స్టోర్ నెట్‌వర్క్ ధృవీకరణ, ఫలfillment, మరియు లైవ్ కామర్స్‌ను బలపరచగలదని అది వాదిస్తోంది. ఈ ప్రతిపాదన వెంటనే మరింత కఠినమైన ప్రశ్నను లేవనెత్తింది: ఎలా ఒక చాలా

Read article

ఈ బ్రీచ్ ఒక కంపెనీకి మించినదిగా ఎందుకు ముఖ్యం

Instructure ఘటన ఒక పెద్ద ధోరణిలో భాగం: ఒకే సేవా ప్రదాత ద్వారా పెద్ద జనాభాలను సమీకరించే వ్యవస్థలను దాడిదారులు ఎక్కువగా లక్ష్యంగా చేసుకుంటున్నారు. పాఠశాలలు మరియు విశ్వవిద్యాలయాలు ప్రత్యేకంగా ప్రమాదంలో ఉంటాయి, ఎందుకంటే అవి కమ్యూనికేషన్లు, రోస్టర్లు, వినియోగదారు గుర్తింపులు, మరియు సంస్థా వర్క్‌ఫ్లోలను ఒకచోట కేంద్రీకరించే సాఫ్ట్‌వేర్‌పై ఆధారపడతాయి.

సన్నిహితంగా లక్ష్యంగా చేసిన enterprise బ్రీచ్‌తో పోలిస్తే, ఒక ప్రధాన విద్యా ప్లాట్‌ఫారమ్‌పై విజయవంతమైన దాడి వేల సంస్థలపై ఒకేసారి ప్రభావం చూపవచ్చు. ఇది దాడిదారునికి స్కేల్‌ను, రక్షకులకు సంక్లిష్టతను పెంచుతుంది. అలాగే vendor భద్రతా పద్ధతులు, ఒప్పంద పర్యవేక్షణ, మరియు విద్యార్థి డేటా ఎక్కడ నిల్వ ఉందో పాఠశాలలు ఎంతవరకు అర్థం చేసుకున్నాయో అన్న దాని ప్రాముఖ్యతను కూడా పెంచుతుంది.

ప్రతిష్ఠా కోణం కూడా ఉంది. విద్యా ప్లాట్‌ఫారమ్‌లు సాధారణంగా సౌలభ్యం, అనుసంధానం, మరియు డిజిటల్ ప్రాప్యతను మార్కెట్ చేస్తాయి. ఇలాంటి బ్రీచ్‌లు ఒక కఠిన ప్రశ్నను ముందుకు తెస్తాయి: ఆ లాభాలకు సరిపడే స్థాయిలో డేటా తగ్గింపు, విభజన, మరియు బ్రీచ్-లచ్యతలో పెట్టుబడి పెట్టబడిందా అని.

ఇప్పటికైతే, ఈ ఘటన యొక్క నిర్ధారిత పరిధి తనంతట తానే తీవ్రమైనది. విద్యార్థుల పేర్లు, వ్యక్తిగత ఇమెయిల్ చిరునామాలు, మరియు ఉపాధ్యాయ-విద్యార్థి సందేశాలు సున్నితమైన రికార్డులు, ముఖ్యంగా మైనర్లు ఉంటే. Instructure లేదా స్వతంత్ర దర్యాప్తుదారులు మరింత వివరమైన నిర్ధారణలను విడుదల చేసే వరకు, Canvas మరియు సంబంధిత ఉత్పత్తులను ఉపయోగిస్తున్న పాఠశాలలు ఈ బ్రీచ్‌ను ఒక సాధ్యమైన విస్తృత బహిర్గత ఘటనగా పరిగణించే అవకాశముంది, వేరొక తేలికపాటి సాంకేతిక అంతరాయంగా కాదు.

తదుపరి దశ ఈ సంఘటన పారదర్శక ప్రతిస్పందనకు ఉదాహరణగా మారుతుందా, లేక ప్రధాన ప్లాట్‌ఫారమ్ బ్రీచ్‌ల తర్వాత కీలక వివరాలు ఎంత నెమ్మదిగా వెలుగులోకి వస్తాయో చూపించే మరో ఉదాహరణగా మిగిలిపోతుందా అన్నది నిర్ణయిస్తుంది. ఏమైనప్పటికీ, విద్యా మౌలిక సదుపాయాలు ఇప్పుడు వ్యవస్థీకృత సైబర్ నేరాల నేరుగా లక్ష్యంలో ఉన్నాయని ఇది ఇప్పటికే గుర్తు చేస్తోంది.

ఈ వ్యాసం TechCrunch నివేదిక ఆధారంగా ఉంది. మూల వ్యాసాన్ని చదవండి.

Originally published on techcrunch.com