Eğitim teknolojileri şirketi Instructure, okul bilgi portalı Canvas'ın üreticisi, sistemlerine iki kez sızan ve büyük miktarda öğrenci ile personel verisi çalarak binlerce okulu etkileyen hackerlarla bir anlaşmaya vardığını duyurdu.
Anlaşmanın Detayları ve Veri İmhası İddiası
Finansal motivasyonlu bir siber suç grubu olan ShinyHunters, 29 Nisan'daki veri ihlalinin sorumluluğunu üstlenerek, toplam 275 milyon kişinin kişisel bilgilerini içeren öğrenci ve personel verilerini çaldığını iddia etmişti. Hackerlar, yaklaşık 9.000 okulun öğrenci verilerini ve ders içeriklerini yönetmek için kullandığı Canvas sistemini ele geçirdiklerini belirtmişti. Geçtiğimiz hafta hackerlar, fidye taleplerini kabul ettirmek amacıyla ikinci kez şirketin sistemlerine sızarak Canvas giriş sayfalarını bozmuştu. Instructure, Pazartesi geç saatlerde yayınladığı olay sayfasında, anlaşma kapsamında hackerların çalınan verilerin imha edildiğine dair kanıt sunduğunu ve Canvas müşterilerinin fidye talepleriyle karşılaşmayacağını belirtti. Şirket, siber suçlularla müzakere ederken hiçbir zaman tam bir kesinliğin olmadığını kabul etmekle birlikte, müşterilerin hackerlarla muhatap olmak zorunda kalmaması gerektiğini vurguladı.
Gizlenen Finansal Şartlar ve Güvenlik Endişeleri
Anlaşmanın finansal şartları açıklanmadı ve Instructure, hackerlara ne kadar ödeme yapıldığı konusunda bilgi vermedi. Instructure sözcüsü Brian Watkins, Salı günü kendisine ulaşıldığında bir yorum talebine yanıt vermedi veya anlaşmayla ilgili soruları cevaplamadı. TechCrunch'ın gördüğü ShinyHunters'ın sızdırma sitesindeki bir gönderisinde, şirket fidye talebini karşılamazsa çalınan verileri yayınlamakla tehdit ettiği görülüyordu. Salı itibarıyla, bu liste ShinyHunters'ın sayfasından kaldırılmıştı, bu da bir fidye ödemesi yapılmış olabileceğini gösteriyor. ShinyHunters temsilcisi TechCrunch'a yaptığı açıklamada, "Veriler silindi, yok oldu. Şirket ve müşterileri tarafımızca daha fazla hedef alınmayacak veya ödeme için aranmayacak." dedi. Instructure'ın neden hackerlara ödeme yaptığı net değil. Amerika Birleşik Devletleri dahil olmak üzere hükümetler, fidye ödemelerinin siber suçluların saldırılarından kar etmesine yardımcı olduğu gerekçesiyle uzun süredir mağdurları hackerlara fidye ödememeleri konusunda uyarıyor. Güvenlik araştırmacıları, bazı siber suçluların verileri sildiklerini söyleseler bile, mağdurları daha fazla fidye için elinde tuttuğu için kötü niyetli hackerların sözlerine güvenilemeyeceğini savunuyor.
Benzer Saldırılar ve FBI'ın Uyarısı
Instructure'daki hack, 2024 yılında 70 milyon öğrenci ve personeli etkileyen büyük bir veri ihlaliyle karşı karşıya kalan PowerSchool'a yapılan siber saldırıyı anımsatıyor. Okul bilgi yazılımları da üreten PowerSchool, çalınan verileri geri almak için hackerlara ödeme yapmıştı, ancak müşterilerinden bazıları daha sonra verilerin imha edilmediği ihlalden elde edilen verileri gösteren başka bir suç grubu tarafından fidye talepleriyle karşı karşıya kalmıştı. FBI, geçen hafta yaptığı bir açıklamada, ABD genelindeki okulları ve eğitim kurumlarını etkileyen sistem kesintilerinden haberdar olduğunu belirtti. Bildiride Canvas'tan bahsedilmese de, mağdurların siber suçluların taleplerine ödeme göndermemeleri veya yanıt vermemeleri gerektiği belirtildi. TechCrunch'ın gördüğü Instructure'dan çalınan veriler arasında öğrencilerin adları, kişisel e-posta adresleri ve öğretmenler ile öğrenciler arasında değiş tokuş edilen mesajlar, özel ve kişisel bilgiler yer alıyor. Instructure web sitesinde, hackerların şirketin sistemlerine bir yıl içinde iki kez sızdığını kabul etti, ancak iki ihlalin farklı sistemleri içerdiğini ve "ayrı olaylar" olduğunu belirtti. Şirket, ihlali hala araştırdığını ve bulgularını doğruladığını söyledi. Instructure'da siber güvenliğin kim tarafından denetlendiği veya kimin sorumlu olduğu, şirketin CEO'su Steve Daly'nin kendisi değilse de net değil. TechCrunch ile iletişime geçildiğinde Instructure, veri ihlallerinin ardından Daly'nin istifa edip etmeyeceğini söylemedi.
Uzman Analizi:Bu gelişme, siber güvenlikte fidye ödemelerinin karmaşık ve tartışmalı doğasını bir kez daha gözler önüne seriyor. Verilerin imha edildiğine dair kanıt sunulsa da, siber suçlularla yapılan anlaşmaların doğası gereği tam bir güvence sağlaması zor. Bu durum, hem kurumların hem de bireylerin veri güvenliği konusunda daha proaktif ve dirençli stratejiler geliştirmesi gerektiğini vurguluyor.
