“الدفع أو التسرب”: المتسللون يستهدفون بائعي التعليم العالي الكبار

تلقى قطاع التعليم العالي تذكيرًا آخر خلال عطلة نهاية الأسبوع بأنه لا يزال هدفًا رئيسيًا لمجرمي الإنترنت.

المتسللون الذين سرقوا البيانات من Ticketmaster وGoogle و العديد من الجامعات رفيعة المستوى بدأ شهر مايو بخرق التعليمات؛ تمتلك شركة تكنولوجيا التعليم نظام إدارة التعلم الأكثر شعبية في البلاد، Canvas، وهو تستخدمها 41% من مؤسسات التعليم العالي عبر أمريكا الشمالية لتقديم الدورات.

ادعت مجموعة الابتزاز الإجرامية ShinyHunters – التي تم ربطها أيضًا بخروقات البيانات الأخيرة في جامعة بنسلفانيا وجامعتي برينستون وهارفارد – أن هجومها على Instructure أثر على ما يقرب من 9000 مدرسة في جميع أنحاء العالم (بما في ذلك مزيج من مؤسسات التعليم من الروضة إلى الصف الثاني عشر ومؤسسات التعليم العالي) وأدى إلى تعرض معلومات التعريف الشخصية لـ 275 مليون شخص للخطر، بما في ذلك الطلاب والمدرسين والموظفين.

وبينما تقول Instructure إنها احتوت الهجوم، يقول الخبراء إنها تشير إلى القيمة المضافة التي يراها المهاجمون السيبرانيون في ملاحقة البائعين الخارجيين بدلاً من المؤسسات الفردية.

وقال دوج تومسون، كبير مهندسي التعليم ومدير هندسة الحلول في شركة تانيوم، وهي شركة لإدارة الأمن السيبراني: “يتبع هذا الاختراق نمطًا واضحًا كنا نراقبه خلال الأشهر الثمانية عشر الماضية”. “بدلاً من استهداف الحرم الجامعي الفردي، يقوم المهاجمون بنقل سلسلة توريد البيانات إلى المنصات الموجودة تحت آلاف المؤسسات في وقت واحد.”

هذه ليست المرة الأولى التي يقع فيها ShinyHunters ضحية لبائعي تكنولوجيا التعليم. في الخريف الماضي، قام قراصنة مرتبطون بالمجموعة باختراق Salesforce و ادعى سرقة حوالي مليار من سجلات العملاء عبر عشرات الشركات، بما في ذلك Instructure، التي تضم 8000 مؤسسة شريكة. في مارس، تسلل ShinyHunters إلى الحرم الجامعي اللانهائي، نظام معلومات للطلاب من الروضة إلى الصف الثاني عشر يستخدم على نطاق واسع. وفي أبريل، نال الفضل في ذلك الوصول إلى البيانات الداخلية لدى الناشر McGraw Hill.

وقال طومسون: “إنها حسابات لص بنك اكتشف للتو أين تتوقف الشاحنة المدرعة. لماذا نغلق مائة فرع عندما تزورها الشاحنة جميعها؟ إن الخطر الحقيقي الآن يكمن في اتجاه مجرى النهر”. “مع إمكانية الوصول إلى الأسماء الحقيقية وعناوين البريد الإلكتروني وحتى الرسائل بين المعلمين والطلاب، فإن الموجة التالية من التصيد الاحتيالي لن تكون عامة. بل ستشير إلى دورات ومحادثات حقيقية، مما يزيد من احتمالية نجاحها.”

“الدفع أو التسريب”

ليس من الواضح بالضبط كيف قام ShinyHunters باختراق Instructure، ولكن في أواخر الأسبوع الماضي بدأ مستخدمو Canvas في الإبلاغ عن أعطال في مفاتيح المصادقة الخاصة بهم. وبعد فترة وجيزة، تلقت Instructure كلمة من ShinyHunters: “الدفع أو التسرب”.

إذا لم تدفع Instructure المبلغ، فيمكنها توقع تسرب “عدة مليارات من الرسائل الخاصة بين الطلاب والمدرسين والطلاب وغيرهم من الطلاب المشاركين، والتي تحتوي على محادثات شخصية وأشياء أخرى”. [personal identifying information]”، كتب ShinyHunters في رسالة فدية منشورة 3 مايو من خلال موقع Ransomware.live، الذي يتتبع ويراقب ضحايا مجموعات برامج الفدية ونشاطهم. أخبر المتسللون Instructure “بالتواصل بحلول 6 مايو 2026 قبل أن نتسرب مع العديد من الأشياء المزعجة” [digital] المشكلات التي ستعترض طريقك”، محذرًا الشركة من “اتخاذ القرار الصحيح” لتجنب أن تصبح “العنوان التالي”.

بينما لم يستجب Instructure ل داخل التعليم العاليوأشارت إلى طلبات التعليق على الفدية وأسئلة محددة أخرى حول الهجوم إلى سجل تحديثات الحالة تأليف ستيف براود، كبير مسؤولي أمن المعلومات في Instructure. وفي يوم الجمعة، أكد براود أن الاختراق “ارتكبه ممثل تهديد إجرامي”، وقال إن الشركة “تحقق بنشاط في هذا الحادث بمساعدة خبراء الطب الشرعي الخارجيين”.

في اليوم التالي، كتب براود أن Instructure اعتقدت أنها احتوت الهجوم واتخذت إجراءات لإلغاء بيانات الاعتماد المميزة ورموز الوصول المرتبطة بالأنظمة المتضررة، ونشرت تصحيحات لتعزيز أمان النظام، وقامت بتدوير مفاتيح معينة – “على الرغم من عدم وجود دليل على إساءة استخدامها” – ونفذت مراقبة متزايدة عبر جميع المنصات.

وكتب: “بينما نواصل التحقيق بنشاط، حتى الآن، تشير الدلائل إلى أن المعلومات المعنية تتكون من معلومات تعريف معينة للمستخدمين في المؤسسات المتضررة، مثل الأسماء وعناوين البريد الإلكتروني وأرقام هوية الطلاب، بالإضافة إلى الرسائل بين المستخدمين”. “في هذا الوقت، لم نعثر على أي دليل على أن كلمات المرور أو تواريخ الميلاد أو المعرفات الحكومية أو المعلومات المالية كانت متورطة. إذا تغير ذلك، فسنقوم بإخطار أي مؤسسات متأثرة.”

هذا يتتبع مع التقارير من قبل منفذ الأخبار أزمة التكنولوجيا، والتي استعرضت عينة من البيانات المسروقة من جامعة في تينيسي وأخرى في ماساتشوستس مقدمة من ShinyHunters. وفقًا للمنفذ، تضمنت بيانات العينة رسائل تحتوي على أسماء وعناوين بريد إلكتروني وبعض أرقام الهواتف ولكنها “لم تحتوي على كلمات مرور أو أنواع أخرى من البيانات التي قالت Instructure إنها لم تتأثر بالاختراق”.

“أهداف غنية”

يبدو أن Instructure يستعيد أنظمته. اعتبارًا من آخر تحديث تم نشره يوم الاثنين، كتب Proud أن Canvas Data 2 وBeta “يجب أن يكونا متاحين الآن لجميع العملاء”، بينما يظل إصدار آخر من نظام إدارة التعلم، Canvas Test، قيد الصيانة.

ومع ذلك، كان الحادث بمثابة تحذير للقطاع.

وقال أنطون داهبورا، المدير التنفيذي لمعهد أمن المعلومات بجامعة جونز هوبكنز: “إن اختراق كانفاس هو تذكير بأنه لا توجد منصة محصنة: هناك عدد لا يحصى من الأنظمة المستخدمة على نطاق واسع والتي تظل أهدافًا جذابة للجهات الفاعلة السيئة المتطورة، بما في ذلك الدول القومية”. “تعد المنصات التعليمية أهدافًا غنية بشكل خاص نظرًا لتركيز بيانات الطلاب الشخصية والمالية والدولية.”

وأضاف أن ما يثير القلق بشكل خاص بشأن اختراق Canvas هو أنه يكشف كيف أنه “حتى المؤسسات التي تفعل الأشياء الصحيحة يمكن أن تتعرض للخطر من خلال البائعين الموثوق بهم”. “نحن بحاجة إلى نهج منهجي للأمن السيبراني. دفاعات أقوى، ومساءلة أفضل لسلسلة التوريد، والاعتراف بأن خروقات البيانات ليست أحداثا معزولة، ولكنها جزء من مشهد تهديد استراتيجي أوسع.”