Salasanat säilyivät, mutta nimet ja viestit eivät – Canvasin emoyhtiö Instructure vahvisti tietomurron
Edtech-jätti Instructure on vahvistanut tietomurron Canvas-oppimisalustallaan. Kiristysryhmä ShinyHunters väittää saaneensa haltuunsa lähes 9 000 oppilaitoksen ja yli 280 miljoonan käyttäjän tiedot, mutta luvut ovat vahvistamattomia.
Tiivistelma
Yhdysvaltalainen Instructure kertoo, että Canvas LMS:n käyttäjien nimiä, sähköpostiosoitteita, opiskelijatunnuksia ja yksityisviestejä on vuotanut. Salasanat, syntymäajat ja henkilötunnukset eivät yhtiön mukaan altistuneet. Suomessa keskeinen kytkös on Aalto EE Canvas, jonka vaikutusta yhtiö ei ole vahvistanut.
Salasanat säilyivät, mutta kaikki muu ei. Yhdysvaltalainen Instructure, joka omistaa maailman yhden käytetyimmän oppimisalustan Canvas LMS:n, vahvisti vapun aikaan blogissaan tietomurron, jossa käyttäjien nimiä, sähköpostiosoitteita, opiskelijatunnuksia ja keskinäisiä viestejä on päätynyt ulkopuolisten käsiin.
Canvasta käyttää arviolta 9 000 oppilaitosta ympäri maailmaa. Vastuun hyökkäyksestä ottanut kiristysryhmä ShinyHunters väittää anastaneensa 275–280 miljoonaa kirjausta ja 3,65 teratavua dataa kaikkiaan 8 809 oppilaitoksen tietokannoista. Luvut ovat ryhmän omaa kerrontaa, eikä Instructure ole niitä vahvistanut.
Instructure kertoo blogissaan, että hyökkääjä hyödynsi Canvasin omia tiedonvientiominaisuuksia – DAP-kyselyitä, provisioning-raportteja ja käyttäjä-API:ta – ja onnistui keräämään dataa ilman erillistä haavoittuvuutta itse alustassa. Yhtiö sanoo mitätöineensä etuoikeutetut tunnukset, kierrättäneensä access-tokenit ja asentaneensa paikkaukset.
– Tilanne on hallinnassa, ja yhteistyö forensiikkayritysten ja lainvalvonnan kanssa jatkuu, yhtiö toteaa tiedotteessaan.
Mitä siis vuoti ja mitä ei?
Instructuren mukaan altistuneita ovat nimet, sähköpostiosoitteet, opiskelijatunnukset ja käyttäjien välillä kulkeneet viestit. Salasanat, syntymäajat, viranomaistunnukset ja taloustiedot säilyivät yhtiön mukaan koskemattomina. ShinyHunters väittää lisäksi haltuunsa "miljardeja" yksityisviestejä opiskelijoiden ja opettajien välillä, mutta tätä Instructure ei ole vahvistanut.
Vahvistettujen kohteiden joukkoon kuuluvat ainakin University of Colorado Boulder ja Auckland University, joka julkaisi oman kyberturvallisuusilmoituksensa. Myös alankomaalaisen Tilburg Universityn vaikutus on noussut esiin, joskin asia on vielä vahvistamaton. Inside Higher Ed kuvaa hyökkäyksen "pay or leak" -mallia, jossa kohteena on suuri korkeakoulutoimittaja ja painostuskeinona vuotaminen.
Suomalainen kytkös on kapea mutta todellinen
Suurin osa suomalaisista tutkimusyliopistoista, kuten Helsinki, Tampere, Jyväskylä, Oulu ja Turku, käyttää Moodlea, ei Canvasta. Myös Aalto-yliopiston ydinopetus pyörii Moodlen päällä, ja Aallon Unite!-allianssissa kahdeksan yliopistoa yhdeksästä on samalla linjalla.
Tunnetuin suomalainen Canvas-käyttöönotto on Aalto EE Canvas osoitteessa canvas.aaltoee.fi. Kyseessä on Aalto-yliopiston Executive Education Oy:n oma oppimisalusta, jota käytetään johdon koulutuksessa ja ammatillisessa täydennyskoulutuksessa. Aalto EE -vuokralaisuuden vaikutus on ainakaan vielä vahvistamaton, ja osallistujien on syytä seurata Aalto EE:n omaa tiedotusta.
Suomessa rekisterinpitäjän velvollisuudet määrittää GDPR. Artiklan 33 mukaan tietoturvaloukkauksesta on ilmoitettava Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa siitä, kun loukkaus tulee rekisterinpitäjän tietoon. Korkean riskin tapauksissa on artiklan 34 nojalla tiedotettava myös rekisteröityjä itseään.
Trendi jatkuu, henkilötietovuodot ovat kevään isoin tarina
Huhtikuussa Ranskan ANTS-järjestelmästä paljastui laaja henkilötietoja koskeva vuoto, ja samaa rakennetta toistuu nyt edtech-sektorissa. Kohteena on globaali alusta, jonka käyttäjäkanta on kymmenissä miljoonissa. Trendi on ihan selvä: laajat keskitetyt tietovarannot ovat tämän vuoden suosituin saalis.
Mitä tästä seuraa suomalaiselle Canvas-käyttäjälle käytännössä? Vaikka salasanasi olisi turvassa, sähköpostiosoitteesi ja nimesi yhdistelmä Canvas-kontekstiin riittää uskottavaan kalasteluviestiin. Hyökkääjät tietävät, että opiskelet tai opetat tietyssä oppilaitoksessa, ja voivat räätälöidä viestin sen mukaan.
Tunnistusmerkit
- Saat odottamattoman "Canvas-salasanan palautus"- tai "kurssitiedote"-sähköpostin, vaikka et ole pyytänyt mitään
- Viestin linkki vie verkkotunnukselle, joka ei ole canvas.aaltoee.fi tai instructure.com
- Sähköposti pyytää lisätietoja, kuten henkilötunnusta tai pankkitietoja, vaikka Canvas ei kerää tällaisia palautuslinkillä
- Viestissä painostetaan kiireeseen tyyliin "tilisi on lukittu kunnes vahvistat henkilöllisyytesi"
- Lähettäjän osoite näyttää lähes oikealta mutta sisältää pienen kirjoitusvirheen tai poikkeavan päätteen
Mitä tehdä
- Opiskelijat ja henkilökunta Canvas-oppilaitoksissa: Käsittele kaikkia "Canvas-salasanan palautus"- ja arvosanapäivitysviestejä epäilyttävinä. Avaa Canvas suoraan selaimesta tunnetussa osoitteessa, älä sähköpostin linkin kautta. Pakota MFA käyttöön omasta tilistäsi, jos se ei ole jo päällä.
- Aalto EE Canvas -käyttäjät: Seuraa sähköpostia ja Aalto EE:n virallista tiedotusta. Jos epäilet jotain, ole yhteydessä opintotoimistoon tai IT-tukeen.
- Suomalaiset oppilaitokset, joita murto koskee: Tee ilmoitus Tietosuojavaltuutetulle 72 tunnin sisällä tiedon saatuasi (GDPR art. 33). Informoi rekisteröityjä artiklan 34 mukaan, jos riski on korkea. Ilmoituslomake löytyy osoitteesta tietosuoja.fi.
- Identiteettivarkauden uhrit: Tee rikosilmoitus poliisi.fi/rikosilmoitus-palvelussa. Tukea saa Rikosuhripäivystyksestä numerosta 116 006.
Jää nähtäväksi, kuinka suuri osuus ShinyHuntersin esittämistä luvuista lopulta osoittautuu todeksi. Forensiikan tulokset tulevat oikeastaan vasta viikkojen päästä, ja siihen asti varovaisuus on käyttäjän paras suoja.