Μια εικόνα μιας ειδοποίησης που εστάλη από το τμήμα τεχνολογίας πληροφοριών της Georgia Tech προειδοποιώντας τους χρήστες σχετικά με την παραβίαση του Canvas την Παρασκευή.
Michael Warren/AP
απόκρυψη λεζάντας
εναλλαγή λεζάντας
Michael Warren/AP
Η διαδικτυακή εκπαιδευτική πλατφόρμα Canvas βγήκε εκτός σύνδεσης μετά από παραβίαση δεδομένων την Πέμπτη, αφήνοντας προσωρινά φοιτητές και διδάσκοντες σε χιλιάδες κολέγια των ΗΠΑ – και σχολεία K-12 – χωρίς πρόσβαση στο υλικό μαθημάτων και τις επικοινωνίες κατά τη διάρκεια της τελικής περιόδου.
«Είμαι σίγουρος ότι κάπου στη χώρα όταν συνέβη η διακοπή, πιθανότατα υπήρχαν άνθρωποι που έδιναν τελικές εξετάσεις στην πλατφόρμα όταν συνετρίβη», λέει ο Damon Linker, ανώτερος λέκτορας στις πολιτικές επιστήμες στο Πανεπιστήμιο της Πενσυλβάνια.
Τριάντα εκατομμύρια χρήστες – συμπεριλαμβανομένων των μισών ιδρυμάτων τριτοβάθμιας εκπαίδευσης στη Βόρεια Αμερική – βασίζονται στο Canvas για τη διαχείριση μαθημάτων, την υποβολή εργασιών, την προβολή βαθμών και τη διευκόλυνση της επικοινωνίας, σύμφωνα με τη μητρική εταιρεία, την Instructure.
Αλλά όταν ο Linker και πολλοί άλλοι χρήστες προσπάθησαν να το κάνουν το απόγευμα της Πέμπτης, συνάντησαν μια μαύρη οθόνη και ένα προειδοποιητικό μήνυμα.
«Η ShinyHunters παραβίασε την Οδηγία (ξανά)», έγραφε. «Αντί να επικοινωνήσουν μαζί μας για να το λύσουμε, μας αγνόησαν και έκαναν κάποιες «μπαλώματα ασφαλείας»».
Η ShinyHunters είναι η ίδια οντότητα που ανέλαβε τα εύσημα για μια τεράστια παραβίαση δεδομένων Ticketmaster το 2024. Όπως πολλές τέτοιες ομάδες, είναι ένα σύμπλεγμα νέων που εργάζονται εξ αποστάσεως, “κάπως σαν συμμορία ransomware”, λέει η Rachel Tobac, η Διευθύνουσα Σύμβουλος της SocialProof Security, η οποία εκπαιδεύει ανθρώπους και εταιρείες χάκερ για να αμυνθούν.
Η ShinyHunters έγραψε σε έναν ιστότοπο πληροφοριών απειλών νωρίτερα αυτή την εβδομάδα ότι η αρχική παραβίαση του Σαββάτου αφορούσε δεδομένα –συμπεριλαμβανομένων ιδιωτικών μηνυμάτων– από 275 εκατομμύρια μαθητές, δασκάλους και προσωπικό σε σχεδόν 9.000 σχολεία παγκοσμίως. Η ομάδα δήλωσε την Πέμπτη ότι τα επηρεαζόμενα σχολεία μπορούν να αποτρέψουν τη δημοσιοποίηση των δεδομένων τους, διαβουλεύοντας με εταιρείες παροχής συμβουλών στον κυβερνοχώρο και διαπραγματεύοντας διακανονισμούς μέσω της κρυπτογραφημένης πλατφόρμας συνομιλίας Tox.
«Έχετε μέχρι το τέλος της ημέρας μέχρι τις 12 Μαΐου 2026 για να διαρρεύσουν όλα», έγραψαν οι χάκερ.
Η Instructure επιβεβαίωσε μια σειρά παραβιάσεων της κυβερνοασφάλειας αυτή την εβδομάδα και παρείχε ενημερώσεις κατάστασης στον ιστότοπό της. Είπε ότι η παραβίαση φαινόταν να περιλαμβάνει μόνο πληροφορίες αναγνώρισης όπως ονόματα, διευθύνσεις email, αριθμούς φοιτητικής ταυτότητας και μηνύματα χρήστη – χωρίς κωδικούς πρόσβασης, ημερομηνίες γέννησης, αναγνωριστικά της κυβέρνησης ή οικονομικές πληροφορίες.
Η Instructure επιβεβαίωσε σε μια σελίδα FAQ ότι ξεκίνησε μια έρευνα αφού εντόπισε για πρώτη φορά μη εξουσιοδοτημένη δραστηριότητα στο Canvas στις 29 Απριλίου και έβγαλε το Canvas εκτός σύνδεσης την Πέμπτη, αφού ο ίδιος μη εξουσιοδοτημένος ηθοποιός “έκανε αλλαγές που εμφανίστηκαν όταν ορισμένοι μαθητές και καθηγητές ήταν συνδεδεμένοι”. Είπαν ότι ο ηθοποιός εκμεταλλεύτηκε ένα πρόβλημα με τους λογαριασμούς του Free-for-Teacher, τους οποίους έκλεισε προσωρινά.
«Αυτό μας δίνει τη σιγουριά να αποκαταστήσουμε την πρόσβαση στο Canvas, το οποίο είναι πλέον πλήρως online και διαθέσιμο για χρήση», ανέφερε σε δήλωση στο NPR. «Λυπούμαστε για την ταλαιπωρία και την ανησυχία που μπορεί να προκάλεσε».
Δεν είναι σαφές εάν η Instructure πλήρωσε λύτρα ή τι θα μπορούσε να σημαίνει η επιστροφή της πρόσβασης στο Canvas για την προθεσμία των χάκερ στις 12 Μαΐου.
Η Tobac λέει ότι ο Canvas θα μπορούσε να επιστρέψει στο διαδίκτυο λόγω μιας επιτυχημένης διαπραγμάτευσης ή επειδή οι χάκερ «δεν έφτασαν πολύ μακριά στην επίθεσή τους». Είτε έτσι είτε αλλιώς, λέει ότι οι χρήστες θα πρέπει να παραμείνουν σε επαγρύπνηση, ειδικά για μηνύματα ηλεκτρονικού ψαρέματος – είτε πρόκειται για κάποιον που υποδύεται τον Καμβά που ζητά αλλαγή κωδικού πρόσβασης είτε προσποιείται ότι είναι καθηγητής που στέλνει υλικό μαθημάτων.
«Θα λειτουργούσα με την παραδοχή ότι θα υπάρξουν κάποια αρνητικά αποτελέσματα εδώ», λέει.
Δεν επέστρεψαν όλοι αμέσως στο διαδίκτυο
Λίγο πριν από τα μεσάνυχτα της Πέμπτης, το Instructure δημοσίευσε στο διαδίκτυο ότι “Το Canvas είναι πλέον διαθέσιμο για τους περισσότερους χρήστες”, αν και δύο ξεχωριστές υπηρεσίες, το Canvas Beta και το Canvas Test, παρέμειναν σε λειτουργία συντήρησης.
Οι μαθητές και οι καθηγητές τουλάχιστον σε ορισμένα σχολεία εξακολουθούσαν να μην έχουν πρόσβαση στο Canvas την Παρασκευή – είτε επειδή η υπηρεσία δεν είχε αποκατασταθεί ακόμη είτε επειδή οι διαχειριστές τους προειδοποίησαν να μείνουν μακριά.
Το πανεπιστήμιο Penn State, για παράδειγμα, είπε την Παρασκευή το πρωί ότι ενώ η πρόσβαση στο Canvas του σχολείου είχε αποκατασταθεί μερικώς, «δεν ήταν ακόμη έτοιμο για χρήση».
“Οι τεχνικές ομάδες στο Penn State εργάζονται ενεργά για να προετοιμάσουν το σύστημα για την κοινότητά μας”, πρόσθεσε. “Καθώς αποκαθίσταται η πρόσβαση, οι ενσωματώσεις του Canvas και οι σχετικές υπηρεσίες θα επανέλθουν στο διαδίκτυο σε φάσεις.”
Αρκετά σχολεία έχουν υιοθετήσει παρόμοιες προσεγγίσεις, είτε απενεργοποιώντας προσωρινά την πρόσβαση στο Canvas είτε ζητώντας από τους χρήστες να απομακρυνθούν. Το Πανεπιστήμιο της Καλιφόρνια είπε σε όλα τα σχολεία του: “Η πρόσβαση στον καμβά δεν θα αποκατασταθεί μέχρι να είμαστε σίγουροι ότι το σύστημα είναι ασφαλές”.
Και δεν είναι μόνο η τριτοβάθμια εκπαίδευση: το σύστημα του δημόσιου σχολείου της κομητείας Montgomery στο Μέριλαντ ειδοποίησε τις οικογένειες το πρωί της Παρασκευής ότι ακόμη και όταν η υπηρεσία επέστρεψε, “συνεχίζει να δοκιμάζει και να ελέγχει τα συστήματα πριν αποκαταστήσει την πρόσβαση”.
Η Tobac λέει ότι αυτό θα μπορούσε να σημαίνει ότι τα σχολεία πιστεύουν ότι οι εισβολείς μπορεί να εξακολουθούν να βρίσκονται εντός των συστημάτων τους, κλέβοντας πιθανώς πληροφορίες όπως κωδικούς πρόσβασης και μηνύματα.
«Οι επιτιθέμενοι πιθανότατα πήραν κάποιες ευαίσθητες πληροφορίες και … [schools] Δεν θέλω αυτές τις πληροφορίες να κυκλοφορούν στο διαδίκτυο», λέει.
Πολλά σχολεία προτρέπουν τους χρήστες να είναι σε εγρήγορση για τυχόν ανεπιθύμητα email ή μηνύματα που φαίνεται να προέρχονται από το Canvas, ειδικά εκείνα που ζητούν διαπιστευτήρια σύνδεσης, όπως προειδοποίησε το Πανεπιστήμιο Georgetown. Το Πανεπιστήμιο του Άμστερνταμ – το οποίο λέει ότι είναι ένα από τα 44 ολλανδικά εκπαιδευτικά ιδρύματα που επηρεάζονται – συνιστά επίσης στους χρήστες να αλλάζουν τον κωδικό πρόσβασής τους σε οποιονδήποτε άλλο ιστότοπο όπου χρησιμοποιούν τον ίδιο.
Η Tobac συνιστά επίσης τη χρήση ενός διαχειριστή κωδικών πρόσβασης – για τη δημιουργία μεγάλων, τυχαίων κωδικών πρόσβασης για κάθε σύνδεση – και την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων για όλους τους διαδικτυακούς λογαριασμούς, όχι μόνο για το Canvas. Λέει ότι κάθε φοιτητής ή καθηγητής που δέχεται μια ύποπτη κλήση, μήνυμα ή email θα πρέπει να «χρησιμοποιήσει άλλη μέθοδο επικοινωνίας για να επαληθεύσει τι είναι αυθεντικό».
«Ακόμα και αν δεν υπήρχε καμία παραβίαση χθες, θα έλεγα ότι αυτά είναι τα πράγματα που σας συνιστώ να κάνετε», προσθέτει, προτρέποντας τον κόσμο να «είναι ευγενικά παρανοϊκός».
Η παραβίαση διαταράσσει τους τελικούς, τονίζει τα τρωτά σημεία
Πολλά σχολεία που επηρεάζονται από την παραβίαση έχουν ήδη αναβάλει ή έχουν καταργήσει οριστικά ορισμένες τελικές εξετάσεις, ενώ άλλα προειδοποιούν τους μαθητές και τους καθηγητές ότι μπορεί να χρειαστεί να το κάνουν.
Το Πανεπιστήμιο του Ιλινόις αναβάλλει όλες τις τελικές εξετάσεις και τις εργασίες που έχουν προγραμματιστεί για την Κυριακή. Το Penn State ακύρωσε ορισμένες εξετάσεις που είχαν προγραμματιστεί για την Πέμπτη το βράδυ και την Παρασκευή, λέγοντας ότι συνεργάζεται με το διδακτικό προσωπικό για να «καθορίσει τα επόμενα βήματα για την τελική βαθμολόγηση» και καλώντας τους φοιτητές να ελέγχουν τακτικά τα email τους (όχι το Canvas) στο μεταξύ. Και το Πανεπιστήμιο Baylor καθυστέρησε τις εξετάσεις της Παρασκευής και ζήτησε από όλους τους καθηγητές να στείλουν στους φοιτητές «ό,τι υλικό μελέτης έχουν στους τοπικούς υπολογιστές τους στους φοιτητές το συντομότερο δυνατό».
Η παραβίαση έχει υπογραμμίσει πόσο μεγάλο μέρος του ακαδημαϊκού κόσμου βασίζεται σε μια ενιαία, κεντρική πλατφόρμα.
Ο Linker, του UPenn, είπε στο NPR ότι έλαβε μια εισροή πανικόβλητων μηνυμάτων από μαθητές το απόγευμα της Πέμπτης, όταν ξαφνικά δεν μπορούσαν να έχουν πρόσβαση σε PowerPoints, αναγνώσεις και προηγούμενες εξετάσεις καθώς προσπαθούσαν να μελετήσουν για τον τελικό της Δευτέρας.
«Το πρόβλημα με τη χρήση μιας πλατφόρμας όπως το Canvas είναι ότι το μεγαλύτερο [students] δεν πρόκειται να έχουν τις διαθέσιμες ενδείξεις εκτυπωμένες ή στους φορητούς υπολογιστές τους», εξηγεί. «Όλα ζουν στην ηλεκτρονική πλατφόρμα και αν αυτή η πλατφόρμα πέσει, δεν έχουν τρόπο να έχουν πρόσβαση σε αυτές».
Είπε στους μαθητές την Πέμπτη ότι θα ανέβαζε το υλικό του μαθήματος σε άλλη πλατφόρμα (όπως το Dropbox ή τα Έγγραφα Google) εάν δεν αποκατασταθεί η πρόσβαση στο Canvas μέχρι την Παρασκευή το πρωί. Ευτυχώς, λέει, επανήλθε στο διαδίκτυο λίγο πριν τις 9 το πρωί ET.
Αλλά ο Linker λέει ότι έχει ανησυχίες σχετικά με το να βασιστεί πλήρως στο Canvas στο μέλλον.
«Δεδομένου του τι έχει αποκαλύψει αυτό, την ευπάθεια που εμπλέκεται και επίσης την ανησυχία για τις παραβιάσεις δεδομένων, αρχίζω να ξανασκέφτομαι αν αυτός είναι πραγματικά ένας σοφός τρόπος να προχωρήσουμε», λέει.
Ένα παράδειγμα αυτού είναι η βαθμολόγηση. Ο Linker λέει ότι το Canvas καθιστά τόσο εύκολο τον υπολογισμό και τη στάθμιση των βαθμολογιών των μαθητών – σε μεμονωμένες αξιολογήσεις και συνολικά – ώστε να λειτουργεί ως ψηφιακό βιβλίο βαθμών. Προχωρώντας, λέει ότι μπορεί να αρχίσει να κρατά αναλογικό αρχείο των βαθμών των μαθητών για κάθε ενδεχόμενο.
Ενώ το Canvas έχει ανταγωνιστές όπως το Blackboard, ο Linker λέει ότι δεν πιστεύει ότι κανένας θα ήταν λιγότερο ευάλωτος σε μια μελλοντική παραβίαση. Και ο Tobac συμφωνεί.
“Το πρόβλημα δεν είναι ότι αυτός ο ιστότοπος είχε αυτό το συμβάν στον κυβερνοχώρο, σωστά; Επειδή τίποτα σε αυτόν τον κόσμο δεν μπορεί να παραβιαστεί”, λέει. “Αυτό που πρέπει να σκεφτούμε είναι η ανάκαμψη από καταστροφές: Πώς συνεχίζουμε να δραστηριοποιούμαστε όταν υπάρχει μια εκδήλωση στον κυβερνοχώρο και πώς κάνουμε ό,τι καλύτερο μπορούμε για να κρατήσουμε έξω τους κακούς ηθοποιούς;”
Ο Tobac λέει ότι αυτή την εβδομάδα έδειξε ότι πολλά ιδρύματα δεν είχαν ένα σαφές σχέδιο για το πώς οι φοιτητές και οι καθηγητές μπορούν να έρθουν σε επαφή και να έχουν πρόσβαση σε υλικό μαθημάτων χωρίς Canvas. Είπε ότι αυτά τα σχέδια θα πρέπει να διαφέρουν ανάλογα με τις διαφορετικές συνθήκες και τα χρονοδιαγράμματα των σχολείων – γεγονός που μπορεί να εξηγήσει γιατί κάποιοι προχωρούν στους τελικούς ως συνήθως ενώ άλλοι καταργούν τις εξετάσεις εντελώς. Αλλά θα ήθελε να προσεγγίσουν το άμεσο επακόλουθο με έναν κοινό στόχο.
«Πρέπει να αντιμετωπίζουμε τους ανθρώπους με αξιοπρέπεια και σεβασμό», λέει ο Tobac. «Και ελπίζω ότι αυτό είναι κάτι που κάνουν τα θεσμικά όργανα, εντός των χρονοδιαγραμμάτων και των περιορισμών τους».
