Instructure, creador del popular portal de información escolar Canvas, dijo el martes que había “llegado a un acuerdo” con piratas informáticos que habían violado dos veces sus sistemas, robando grandes cantidades de datos de estudiantes y personal e interrumpiendo miles de escuelas que dependen del software de la compañía.
ShinyHunters, un grupo de cibercrimen con motivación financiera, se atribuyó la responsabilidad de la violación de datos el 29 de abril, afirmando haber robado datos de estudiantes y personal, incluida información personal, de un total de 275 millones de personas. Los piratas informáticos dijeron que habían comprometido Canvas, que utilizan casi 9.000 escuelas para gestionar los datos y las tareas de sus estudiantes.
La semana pasada, los piratas informáticos irrumpieron en la empresa por segunda vez, desfigurando la página de inicio de sesión de Canvas en el sitio web de la escuela, como parte de un esfuerzo por presionar a la empresa para que pagara su rescate.
El instructor dijo pagina del incidente el lunes por la noche que, como parte del acuerdo, los piratas informáticos habían proporcionado pruebas de que los datos robados habían sido destruidos y que los clientes de Canvas no serían extorsionados.
La empresa reconoció que “nunca puede haber una certeza total” al negociar con los ciberdelincuentes, pero señaló que los clientes no tienen que interactuar con los piratas informáticos.
Los términos financieros del acuerdo no fueron revelados e Instructure no dijo cuánto pagó a los piratas informáticos. El portavoz del instructor Brian Watkins no respondió a una solicitud de comentarios ni respondió preguntas sobre el acuerdo cuando fue contactado el martes.
En una publicación en su sitio de filtración, vista por TechCrunch, ShinyHunters amenazó con publicar los datos robados de Instructure si la compañía no pagaba sus demandas de extorsión.
El martes, la lista fue eliminada de la página ShinyHunters, lo que indica que es posible que se haya pagado un rescate.
Un representante de ShinyHunters dijo a TechCrunch: “Los datos se han eliminado, se han perdido. La empresa y sus clientes ya no serán atacados ni contactados para realizar pagos por nuestra parte”.
No está claro por qué Instructure pagó a los piratas informáticos. Los gobiernos, incluido Estados Unidos, han instado durante mucho tiempo a las víctimas de delitos cibernéticos a no pagar rescates a los piratas informáticos, ya que esto ayudaría a los ciberdelincuentes a sacar provecho de sus ataques. Los investigadores de seguridad argumentan que las víctimas no pueden confiar en la palabra de los piratas informáticos malintencionados: se ha descubierto que algunos ciberdelincuentes retienen datos robados a pesar de que dicen que los han eliminado para poder continuar extorsionando a sus víctimas.
El ataque a Instructor refleja un ciberataque a PowerSchool, que se vio afectado por una violación masiva de datos que afectará a 70 millones de estudiantes y personal para 2024. PowerSchool, que también fabrica software de información escolar, pagó a piratas informáticos para recuperar datos robados, pero algunos de sus clientes fueron posteriormente chantajeados por otros grupos criminales que indicaron que los datos de la violación no habían sido destruidos.
el FBI dijo en una declaración la semana pasada se dieron cuenta de las interrupciones del sistema que afectan a las escuelas e instituciones educativas en todo Estados Unidos. El aviso no nombra a Canvas, pero dice que las víctimas “no deben enviar pagos ni responder” a las demandas de los ciberdelincuentes.
Los datos robados de Instructure, algunos de los cuales han sido vistos por TechCrunch, incluyen los nombres de los estudiantes, sus direcciones de correo electrónico personales y mensajes intercambiados entre profesores y estudiantes, incluida información personal y privada.
En su sitio web, Instructure reconoció que los piratas informáticos habían violado los sistemas de la empresa dos veces en menos de un año, pero dijo que las dos violaciones eran “eventos separados” que involucraban sistemas diferentes.
Instructor dijo que todavía está investigando la violación y validando sus hallazgos.
No está claro quién en Instructure supervisa o es responsable de la ciberseguridad, si no el director ejecutivo de la empresa, Steve Daly. Cuando TechCrunch lo contactó, Instructure no dijo si Daly planeaba renunciar luego de la violación de datos.
¿Era usted un administrador de Canvas o una escuela a la que se le notificó la infracción? ¿Alguna vez ha recibido solicitudes de chantaje por parte de piratas informáticos? Queremos escuchar tu opinión. Para contactar a este reportero de manera segura, comuníquese a través del nombre de usuario de Signal zackwhittaker.1337.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
