قامت شركة Instructure بدفع فدية لعصابة من مجرمي الإنترنت الذين قاموا مرتين باختراق نظام إدارة التعلم الخاص بالشركة، Canvas، خلال الأسبوع ونصف الأسبوع الماضيين.
وفق تحديث نشرته شركة تكنولوجيا التعليم ليلة الاثنينوتعني الصفقة أن المتسللين أعادوا البيانات المخترقة لنحو 275 مليون مستخدم عبر أكثر من 8800 مؤسسة.
وقالت الشركة – التي يستخدم نظام إدارة التعلم الخاص بها لتقديم الدورات التدريبية من قبل 41 بالمائة من مؤسسات التعليم العالي في أمريكا الشمالية – إنها “تلقت تأكيدًا رقميًا لتدمير البيانات (سجلات التمزيق)” وضمانًا “بأنه لن يتم ابتزاز أي من عملاء Instructure نتيجة لهذا الحادث، علنًا أو غير ذلك”. وأضافت أن الاتفاقية “تغطي جميع عملاء Instructure المتأثرين” وأن العملاء الأفراد “ليسوا بحاجة” للتعامل مع ShinyHunters، المجموعة الابتزازية التي اخترقت Canvas وعطلتها مؤقتًا مرتين حتى الآن هذا الشهر.
وكتبت الشركة: “رغم أنه لا يوجد يقين كامل أبدًا عند التعامل مع مجرمي الإنترنت، فإننا نعتقد أنه من المهم اتخاذ كل خطوة ضمن سيطرتنا لمنح العملاء المزيد من راحة البال، إلى أقصى حد ممكن”. “نحن نواصل العمل مع البائعين الخبراء لدعم تحليل الطب الشرعي لدينا، وزيادة صلابة بيئتنا، وإجراء مراجعة شاملة للبيانات المعنية. وسوف نستمر في تقديم التحديثات مع تقدم هذا العمل.”
وعلى الرغم من أن الشركة لم تكشف عن القيمة المالية للصفقة، إلا أنه تم التوصل إليها قبل يوم واحد من الموعد النهائي لطلب الفدية في 12 مايو الذي فرضته ShinyHunters. وترتبط المجموعة أيضًا بخروقات البيانات الأخيرة في جامعة بنسلفانيا وجامعتي برينستون وهارفارد.
تسبب تسلل ShinyHunters إلى Canvas في حدوث اضطرابات كبيرة في الخدمة. وحذرت المجموعة Instructure من الدفع إذا لم تكن تريد تسرب جميع بيانات المستخدم – والتي تضمنت الأسماء وعناوين البريد الإلكتروني وأرقام هوية الطالب.
“عدة مليارات من الرسائل الخاصة بين الطلاب والمعلمين والطلاب وغيرهم من الطلاب المشاركين، تحتوي على محادثات شخصية وغيرها [personal identifying information]”، كتب ShinyHunters في رسالة فدية منشورة 3 مايو من خلال موقع Ransomware.live، الذي يتتبع ويراقب ضحايا مجموعات برامج الفدية ونشاطهم. أخبر المتسللون Instructure “بالتواصل بحلول 6 مايو 2026 قبل أن نتسرب مع العديد من الأشياء المزعجة” [digital] المشاكل التي سوف تأتي في طريقك.” وحذرت الشركة من “اتخاذ القرار الصحيح” لتجنب أن تصبح “العنوان التالي”.
على الرغم من أن Instructure يبدو أنها تتجاهل تلك المطالب، إلا أنها عالجت المشكلات الأمنية، وكان Canvas جاهزًا للعمل بكامل طاقته بحلول يوم الثلاثاء الماضي، 5 مايو.
لكن هذا لم يمنع المتسللين من تصدر عناوين أكبر في وقت لاحق من الأسبوع. بحلول يوم الخميس، سيتمكن مستخدمو Canvas – العديد منهم يستعدون للاختبارات النهائية وينهون واجبات نهاية الفصل الدراسي –لا يمكن الوصول إلى حساباتهم مرة أخرى. وبدلاً من ذلك، كل ما استطاعوا رؤيته هو رسالة من المتسللين.
“لقد انتهكت ShinyHunters التعليمات (مرة أخرى). وبدلاً من الاتصال بنا لحل المشكلة، تجاهلونا وقاموا ببعض “التصحيحات الأمنية”،” كما جاء في الرسالة. “إذا كانت أي مدرسة في القائمة المتضررة مهتمة بمنع نشر بياناتها، فيرجى استشارة شركة استشارية إلكترونية والاتصال بنا بشكل خاص في TOX للتفاوض على تسوية.” لقد أعطوا المؤسسات والتعليم موعدًا نهائيًا في 12 مايو.
بالنسبة الى ShinyHunters، تجاهل Instructure مطالبهم الأصلية بالفدية.
“لم تكلف التعليمات نفسها عناء التحدث إلينا لفهم الموقف أو حتى التفاوض معنا لمنع نشر هذه البيانات. لم يكن طلبنا مرتفعًا كما تظن،” كما جاء في إحدى نسخ رسالة الفدية التي أرسلتها عصابة الإنترنت. نشرت على RansomLook، موقع ويب يتتبع نشاط الجرائم الإلكترونية. “يبدو أن الشركة لا تهتم بجميع الطلاب المتأثرين والمؤسسات المتأثرة بخرق البيانات هذا.”
ردا على ذلك، العديد الجامعات تؤجل الامتحانات وتواريخ الاستحقاق النهائية للمشروع أثناء انتظار Canvas لحل المشكلة. وخلال عطلة نهاية الأسبوع، تعهد ستيف دالي، الرئيس التنفيذي لشركة Instructure، بالتعامل مع الاختراق بشكل مختلف في المرة الثانية.
وكتب في تحديث على موقع الشركة على الإنترنت: “في الأسبوع الماضي، قمنا بإجراء مكالمة للحصول على الحقائق الصحيحة قبل التحدث علنًا. هذه الغريزة ليست خاطئة، لكننا أخطأنا في التوازن. ركزنا على تقصي الحقائق والتزمنا الصمت عندما كنت بحاجة إلى تحديثات متسقة”. “لقد كنت واضحاً بشأن ذلك، وكانت هذه ردود فعل عادلة. وسوف نغير ذلك من الآن فصاعدا”.
على ما يبدو، فتحت Instructure أيضًا التواصل مع المتسللين. بحلول ظهر يوم الاثنين، ذلك ذكرت على موقعها على الانترنت أن “جميع بيئات Canvas متاحة.”
