توافق جنجالی «Canvas» با هکرها پس از حمله سایبری بزرگ در بخش آموزش

مرور کلی

مقام‌ها این رخداد را بزرگ‌ترین نشت داده در بخش آموزش تا امروز توصیف کرده‌اند؛ پلتفرم آموزش آنلاین کنوس¹ که صدها هزار دانش‌آموز، دانشجو و معلم در استرالیا از آن استفاده می‌کنند، توسط گروه مجرمان سایبری شاینی‌هانترز² هک شده است. شرکت مادر این‌استراکچر³ اعلام کرده پس از سرقت داده‌های شخصی شمار بسیار زیادی از کاربران (به‌صورت جهانی) و دست‌کم ۱۲۲ نهاد آموزشی در استرالیا، با «عامل غیرمجاز» به «توافق» رسیده است.

جزئیات رخنه

در این حمله سایبری، حدود ۳٫۶۵ ترابایت از سوابق دانشجویان و کارکنان از ۸٬۸۰۹ نهاد آموزشی در سراسر جهان به سرقت رفت. این رخداد در هفته‌های پایانی مهمِ نیم‌سال اول باعث اختلال در دسترسی به کنوس¹ شد و آموزش آنلاین در بخش‌های مختلف آموزش استرالیا را با مشکل روبه‌رو کرد.

چه داده‌هایی درز کرده است؟

داده‌های به‌سرقت‌رفته شامل این موارد عنوان شده است:

• شماره شناسه دانش‌آموز/دانشجو

• ایمیل‌ها

• نام‌ها

• پیام‌های خصوصی داخل کنوس¹

داده‌هایی که طبق اعلام این‌استراکچر³ «به سرقت نرفته‌اند»:

• گذرواژه‌ها

• تاریخ تولد

• شناسه‌های دولتی

• اطلاعات مالی

نهادهای استرالیایی درگیر

این رخنه به شماری از نهادهای شناخته‌شده آموزشی در استرالیا نسبت داده شده است؛ از جمله:

دانشگاه‌ها:

• University of Melbourne⁴

• University of Sydney⁵

• University of Technology Sydney⁶

• RMIT⁷

• Western Sydney University⁸

• University of Newcastle⁹

• Australian Catholic University¹⁰

اداره‌های آموزش دولتی:

• Victorian Department of Education¹¹

• Queensland Department of Education¹²

مدرسه‌های خصوصی:

• Melbourne Grammar¹³

• Cranbrook School (Sydney)¹⁴

• Brisbane Grammar¹⁵

ماجرای باج و «توافق»

این‌استراکچر³ که مالک آن شرکت سرمایه‌گذاری خصوصی آمریکایی KKR¹⁶ است، تأیید کرده با «عامل غیرمجاز» مسئول حمله به «توافق» رسیده است. شرکت گفته داده‌های سرقت‌شده به آن بازگردانده شده و همراه آن «گزارش‌های خردکردن» (shred logs) ارائه شده؛ یعنی تأیید دیجیتالِ هکرها مبنی بر این‌که نسخه‌های باقی‌مانده را از بین برده‌اند.

طبق اطلاعات مطرح‌شده در گزارش‌ها:

• شاینی‌هانترز² ابتدا حدود ۱۰ میلیون دلار آمریکا باج خواسته بود.

• مشاور امنیت سایبری لوک اروین¹⁷ گفته اگر پولی پرداخت شده باشد، احتمالاً «در حد چند میلیونِ بالای تک‌رقمی» بوده است.

• شرکت به‌طور مستقیم تأیید نکرده که باج پرداخت شده و به جای آن از عبارت‌های محتاطانه درباره «توافق» استفاده کرده است.

نظرها و نگرانی‌های مطرح‌شده

الاستر مک‌گیبون¹⁸ (رئیس پیشین امنیت سایبری استرالیا) عبارت‌های به‌کاررفته در بیانیه را نشانه پرداخت پول دانسته و درباره قابل‌توجیه بودن آن سؤال مطرح کرده است. او همچنین تأکید کرده وعده مجرمان برای حذف داده‌ها بارها «نادرست یا دروغ» از آب درآمده و دانش‌آموزان و دانشجویان نباید فرض کنند داده‌هایشان دیگر در خطر نیست.

نقطه ضعف فنی چگونه استفاده شد؟

گفته شده رخنه از یک نقص امنیتی در برنامه Free-for-Teacher¹⁹ در کنوس¹ سوءاستفاده کرده است؛ مسیری که به آموزگاران اجازه می‌داد بدون تأیید یک نهاد آموزشی ثبت‌نام کنند. این دومین حمله موفق شاینی‌هانترز² به این‌استراکچر³ معرفی شده؛ آن‌ها پیش‌تر در سال ۲۰۲۴ نیز از مسیر نرم‌افزارِ طرف‌سوم به شرکت نفوذ کرده بودند.

زمینه حقوقی و پیگیری‌ها

بر اساس توضیحات مطرح‌شده:

• در استرالیا پرداخت باج به هکرها به‌صورت کلی غیرقانونی نیست، مگر این‌که دریافت‌کننده مشمول تحریم باشد.

• در آمریکا یک شکایتِ دسته‌جمعی در دادگاه فدرالِ یوتا²⁰ ثبت شده که مدعی است این‌استراکچر³ در حفاظت کافی از پلتفرم کوتاهی کرده و آن را «طعمه آسان» مجرمان سایبری کرده است.

• همچنین گفته شده احتمال دارد این حادثه در گزارش‌دهیِ سرمایه‌گذاران KKR¹⁶ یا افشای الزامی رخدادهای سایبری نزد SEC²¹ بازتاب پیدا کند.

پیامدهای گسترده‌تر

در این پرونده، به ریسک‌های زنجیره تأمین اشاره شده است؛ این‌که یک شرکت کمتر شناخته‌شده می‌تواند به هزاران نهاد در جهان خدمات بدهد و یک نفوذ نه‌چندان پیچیده، هم‌زمان به میلیون‌ها نفر آسیب بزند. همچنین موضوع وابستگی استرالیا به پلتفرم‌های نرم‌افزاری خارجی برای نگهداری داده‌های حساس مربوط به میلیون‌ها کودک دوباره مطرح شده و بحث‌هایی را درباره حاکمیت داده و امنیت ملی بالا آورده است.

زمان‌بندی رخداد

نشانه‌های هک هفته قبل آشکار شد. بسیاری از نهادها پیش از رسیدن به توافق باج‌گیری، دسترسی به کنوس¹ را دوباره برقرار کرده بودند. شرکت این‌استراکچر³ اعلام کرده «توافق» در ابتدای صبح چهارشنبه به وقت AEST²² (۱۳ می ۲۰۲۶) تأیید شده است.

پاورقی نام‌ها و اصطلاحات

¹ Canvas

² ShinyHunters

³ Instructure

⁴ University of Melbourne

⁵ University of Sydney

⁶ University of Technology Sydney

⁷ RMIT

⁸ Western Sydney University

⁹ University of Newcastle

¹⁰ Australian Catholic University

¹¹ Victorian Department of Education

¹² Queensland Department of Education

¹³ Melbourne Grammar

¹⁴ Cranbrook School (Sydney)

¹⁵ Brisbane Grammar

¹⁶ KKR

¹⁷ Luke Irwin

¹⁸ Alastair MacGibbon

¹⁹ Free-for-Teacher program

²⁰ Utah

²¹ US Securities and Exchange Commission (SEC)

²² Australian Eastern Standard Time (AEST)