Canvas işletmecisi Instructure, hackerlara fidye ödedi

 (insidehighered.com)
1 puan yazan GN⁺ 6 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Instructure, öğrenme yönetim sistemi Canvas’ı iki kez ihlal eden ShinyHunters’a fidye ödeyerek bir kurtarma anlaşmasına vardı
  • Şirket, anlaşma uyarınca hackerların 8.800’den fazla kurumdan yaklaşık 275 milyon kullanıcıya ilişkin ihlal edilmiş verileri iade ettiğini açıkladı
  • Instructure, veri imhasının doğrulaması olan shred logs kayıtlarını ve müşterilerin ek şantaja maruz kalmayacağına dair güvence aldığını söyledi
  • ShinyHunters, isimler, e-postalar, öğrenci kimlik numaraları ve özel mesajları sızdırmakla tehdit etti; Canvas kesintisi nedeniyle üniversiteler sınavları ve son teslim tarihlerini erteledi
  • National Cybersecurity Alliance’tan Cliff Steinhauer, fidye ödemenin saldırıyı ödüllendirip uzun vadeli maruz kalma riskini artırabileceğini değerlendirdi

Instructure’ın fidye ödemesi ve Canvas’ın toparlanması

  • Instructure, son bir buçuk hafta içinde kendi öğrenme yönetim sistemi Canvas’ı iki kez hackleyen siber suç grubuna fidye ödedi
  • Instructure’ın Pazartesi gecesi yayımladığı güncellemeye göre bu anlaşma kapsamında hackerlar, 8.800’den fazla kurumdaki yaklaşık 275 milyon kullanıcıyla ilgili ihlal edilmiş verileri iade etti
  • Instructure, veri imhasının dijital kanıtı olarak shred logs aldığını ve bu olay nedeniyle “Instructure müşterilerinin kamuya açık ya da başka herhangi bir şekilde şantaja uğramayacağına” dair güvence sağladığını söyledi
  • Şirket, anlaşmanın “etkilenen tüm Instructure müşterilerini” kapsadığını ve tek tek müşterilerin Canvas’ı iki kez ihlal edip geçici olarak devre dışı bırakan şantaj grubu ShinyHunters ile iletişime geçmesine “gerek olmadığını” belirtti
  • Instructure, siber suçlularla muhatap olurken tam kesinliğin mümkün olmadığını ancak müşterilere mümkün olan en yüksek düzeyde ek güven vermek için kontrol edebildiği tüm adımları atmanın önemli olduğunu düşünüyor
  • Şirket, adli analiz desteği, ortamın güçlendirilmesi ve ilgili verilerin genel incelemesi için uzman firmalarla çalışmayı sürdürdüğünü, çalışmalar ilerledikçe güncelleme paylaşacağını söyledi

ShinyHunters’ın talepleri ve Canvas hizmet kesintisi

  • Instructure anlaşma tutarını açıklamadı, ancak anlaşma ShinyHunters’ın 12 Mayıs fidye son tarihinden bir gün önce yapıldı
  • ShinyHunters, University of Pennsylvania, Princeton University ve Harvard University’deki son veri ihlalleriyle de ilişkilendiriliyor
  • ShinyHunters’ın Canvas’a sızması ciddi hizmet kesintilerine yol açtı ve isimler, e-posta adresleri ve öğrenci kimlik numaralarını içeren kullanıcı verilerinin sızdırılmaması için Instructure’a ödeme yapması yönünde uyarı yaptı
  • ShinyHunters, 3 Mayıs’ta Ransomware.live’da yayımlanan fidye mektubunda “öğrencilerle öğretmenler ve öğrencilerle öğrenciler arasındaki milyarlarca özel mesaja”, kişisel konuşmalara ve diğer kişisel tanımlayıcı bilgilere sahip olduğunu iddia etti
  • Hackerlar, Instructure’ın 2026 yılı 6 Mayıs’a kadar kendileriyle iletişime geçmesini istedi; aksi halde verileri sızdırıp “sinir bozucu dijital sorunlar” yaratacakları uyarısında bulundu
  • Instructure başlangıçta bu talebe yanıt vermemiş gibi görünse de güvenlik sorununu ele aldı ve Canvas 5 Mayıs Salı gününe kadar tamamen çalışır hale geldi
  • Ancak Perşembe günü Canvas kullanıcıları tekrar hesaplarına erişemedi ve final sınavları ile dönem sonu ödevlerine hazırlanan birçok kullanıcıya yalnızca hacker mesajı gösterildi
  • Hacker mesajında “ShinyHunters’ın Instructure’ı yeniden ihlal ettiği” belirtilerek, şirketin kendileriyle iletişime geçmeden yalnızca güvenlik yaması uyguladığı öne sürüldü
  • Mesajda, etkilenen okullar verilerin açıklanmasını önlemek istiyorsa siber danışmanlık şirketleriyle görüşüp TOX üzerinden özel iletişim kurarak anlaşma pazarlığı yapmaları gerektiği söylendi; kurumlara ve Instructure’a 12 Mayıs son tarihi verildi
  • ShinyHunters, RansomLook’ta yayımlanan fidye mektubunda, Instructure’ın durumu anlamadığını ya da verilerin yayımlanmasını önlemek için müzakereye girişmediğini ve talep ettikleri miktarın da sanıldığı kadar yüksek olmadığını iddia etti

Üniversitelerin tepkisi ve Instructure’ın iletişim değişikliği

  • Canvas kesintisi sürerken çeşitli üniversiteler sınavları ve final proje teslim tarihlerini erteledi ve sorunun çözülmesini bekledi
  • Instructure CEO’su Steve Daly, ikinci ihlalin ardından şirketin web sitesindeki güncellemede, geçen hafta kamuya açıklama yapmadan önce gerçekleri doğru biçimde teyit etmeye çalışırken dengeyi yanlış kurduklarını kabul etti
  • Daly, “Gerçekleri doğrulamaya odaklandım ve size sürekli güncelleme gerektiği bir dönemde sessiz kaldım” diyerek bunu değiştireceğini söyledi
  • Sonrasında Instructure’ın hackerlarla iletişime de başladığı görülüyor; şirket Pazartesi öğleden sonra web sitesinde “tüm Canvas ortamlarının kullanılabilir durumda olduğunu” duyurdu

Fidye ödemenin riskleri

  • National Cybersecurity Alliance’ta bilgi güvenliği ve katılım direktörü Cliff Steinhauer, fidye ödemenin Instructure’ın acil sorununu çözmüş olabileceğini ancak genel siber güvenlik müdahale ilkeleriyle çeliştiğini değerlendirdi
  • Steinhauer, fidye ödemenin “saldırganların başarılı bir ihlal için fiilen ödüllendirildiği tehlikeli bir geri besleme döngüsü” yaratabileceğini söyledi
  • Kurumlar bunun acil krizi “çözdüğüne” inansa bile, bu durum siber şantajın ekonomik teşviklerini güçlendirebilir ve büyük eğitim platformlarını ya da kritik hizmetleri hedef almanın kârlı olduğuna dair tehdit aktörlerine sinyal verebilir
  • Kolluk kuvvetlerinin de sürekli uyardığı gibi, fidye ödemeleri sektör genelinde yeni saldırıları teşvik edebilir ve ödemenin kendisini uygulanabilir bir olay müdahale stratejisi olarak normalleştirme riski taşıyabilir
  • Steinhauer, Instructure ile ShinyHunters arasındaki anlaşmanın güven ve kesinlik sorunlarını da geride bıraktığını söyledi
  • Suçlular çalınan verileri sildiklerini iddia etse ya da imhaya dair “kanıt” sunsa bile, bunun güvenilir biçimde doğrulanmasının bir yolu yok; geçmişte verilerin saklandığı, yeniden satıldığı ya da ileride tekrar şantaj için kullanıldığı pek çok örnek görüldü
  • Risk açısından bakıldığında kurumlar, gözlerinin önündeki kısa vadeli hizmet kesintisini aylar ya da yıllar sonra yeniden ortaya çıkabilecek uzun vadeli bir maruz kalma sorunuyla takas ediyor olabilir ve bunu önlemek için ellerinde ek bir koz da kalmayabilir

İlgili okumalar

1 yorum

 
GN⁺ 6 시간 전
Hacker News görüşleri
  • Birkaç yıl önce Adalet Bakanlığı’ndan bir yetkili, bu fidye ödemeleri konulu bir panele katıldığı bir konferansta bulunmuştu
    Bunu adam kaçırma fidyesine benzer şekilde açıklamıştı. Bir Amerikalı rehin alındığında her aile para ödemek ister, ama bunun sonucu Amerikalıları kaçırmaya yönelik bir sektörün doğması olur. Kongre bunu önlemek için kaçıranlara para ödemeyi yasa dışı hale getirdi; bunun kârlılığı ortadan kalkınca Amerikalıların kaçırılması azalırken hedef Avrupalılar oldu diye anlatmıştı
    Onun önerisi, bu durumlarda sıkça devreye giren siber güvenlik danışmanları ve sigorta şirketlerine, yaptırım altındaki ülkelere yapılan ödemelerin zaten büyük olasılıkla yasa dışı olabileceği ve incelemeye konu olabilecekleri konusunda uyarı vermeye başlamak yönündeydi. İlk yakalananlar ağır bedel öderdi ama sonunda sektör yön değiştirir ve Amerikan şirketlerini daha az hedef alır diye düşünüyordu
    • Doğru yön bu. Fidye ödeyerek yeni bir ransomware suç endüstrisi yaratmak yerine, şirketleri yedeklerden geri dönmeye zorlamak ve suçun finansal teşvikini ortadan kaldırmak daha iyi
      Düzenli yedeklemeyi düzgün yapmayan yöneticiler de doğal olarak sorumlu tutulmalı
    • Kripto parayla ergenlere milyonlarca dolar vermenin iyi bir fikir olduğunu kim düşünebilirdi ki
      O para sadece daha fazla açık istismarına ve daha fazla saçmalığa gider; bu, sonu gelmeyen bir dibe doğru yarış. ShinyHunters’ın üst grubu olan Lapsus$ da şirket ağları içinde iç erişim satın almak istediğini kendi sitesine koymuştu. Veriye ihtiyaçları olmadığını, sadece bir giriş yolu istediklerini söylüyorlardı
      Takibi zor kripto paralarla suçlulara sürekli milyonlarca dolar verirseniz sonuç bu olur
    • Bu tür fidye ödemelerinin neden kara para aklamayı önleme yasalarının ihlali sayılmadığını anlamıyorum. Alıcının yaptırım listesinde olmadığını ya da yaptırım altındaki bir örgütle bağlantılı olmadığını doğruladıklarına pek ihtimal vermiyorum
    • ABD’de kaçıranlara para ödemek gerçekten yasa dışı mı? Böyle bir yasanın gerçekten geçtiğine dair kaynak bulamadım
  • Oyun teorisi ve ekonomik teşvikler hakkında çok iyi noktalar var ama daha önemli ve öz-savunmaya dönük bir nokta daha var. Fidye öderseniz hackerlar size 10 kat daha fazla gelir
    Fidye ödemek üç sinyal verir: saldırıya açıksınız, saldırıdan kurtulamıyorsunuz ve nakdiniz var. Sonuç olarak çok daha fazla saldırıya uğrarsınız. Bunu nereden bildiğimi sorabilirsiniz ama cevap vermeyeceğim
  • Bir yandan, her fidye ödemesi benzer kişileri ransomware işine başlamaya ya da bunu büyütmeye teşvik ettiği için kötü
    Öte yandan işine devam etmek isteyen ransomware gruplarının verileri yayımlamamak ya da silmek konusunda “dürüst” olmaları gerekir. Ancak böyle güvenilir ransomware operatörleri olarak kalabilirler; bu da tuhaf biçimde komik. Çoğu durumda mağdur, verilerin sızdırılmasındansa paranın ransomware operatörüne gitmesini tercih eder. Bu yüzden şu anki mağdur için ödeme en iyi seçenek olabilir ama gelecekteki mağdur olasılığını artırır
    Ransomware’in dinamikleri ve ekonomisi ilginç
    • Bu her zaman fidyenin oyun teorisidir ve tipik bir kolektif eylem sorunu, yani mahkûm ikilemi biçimidir
      Her bir şirket için fidyeyi ödemek muhtemelen daha avantajlıdır ama kimse ödemezse toplamda herkes daha iyi durumda olur
      Bu yüzden ABD gibi yerlerde resmî bir fidye yok politikası var, başka fidye yok politikaları da mevcut. Tek tek mağdurların ödeme yapmasını engelleyecek bir mekanizma olmazsa teşvik her zaman ödemeye kayar ve fidye kârlı kalır
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Saldırganın itibarının o kadar anlamlı olduğundan emin değilim. İstedikleri zaman yeni bir isimle yeniden markalanabilirler. Zaten anonim siber suçlular ve itibar temizliği dışında da bunu yapmak için birçok nedenleri var
      Aynı kişiler “yeni” bir isim kullansa da eski adı kullansa da, kurban açısından sistemlerin rehin alındığı durumda yapılan hesabın çok değiştiğini sanmıyorum
    • Fidye ödemek her zaman yasa dışı olmalı ve ödemeyi onaylayan çalışanlar federal ceza davasıyla karşı karşıya kalmalı. Sonuçta şirket batarsa ya da insanlar ölürse bile bunun kabul edilebilir bir bedel olduğunu düşünüyorum
    • Ransomware’in var olmaya devam ettiği ve her an tüm verilerin rehin alınabileceği bir dünya varsayarsak, buna uygun tasarlanmış bir dünya ortaya çıkar
      Sonunda Discworld tarzı bir “ransomware loncası” kurulup “sigorta primi” toplar, izinsiz şekilde verileri rehin alanlarla uğraşır ya da veriyi değersiz kılacak uçtan uca şifreleme temelli sistemler geliştirilir
    • Bazen “iyi niyetli terörist”[0] fikrini düşünüyorum. Yani daha iyi bir dünyaya ulaşmak için bazı insanlara büyük zarar veren biri. Dune’daki Kwisatz Haderach bunun tipik örneği, yani tamamen özgün bir fikir değil; ama fidyeyi aldıktan sonra asla sözünü tutmayan bir ransomware şirketi işletme fikri eğlenceli geliyor
      Birçok insanın hayatını mahvederdi ama onları ne kadar iyi taklit eder ve parayı aldıktan sonra geri yükleme yapmazsanız, sonunda ransomware’i bir iş modeli olmaktan çıkarabilirsiniz. Ne ters gidebilir ki? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Sonuçta bu bana, “Fidyeyi ödedik ama kötü adamlar sorun olmadığını garanti etti, o yüzden endişelenmeyin” cümlesinin itibar yönetimi için çok ağır paketlenmiş hali gibi geliyor
    • “Veri imhasına dair dijital doğrulama (shred logs) aldık” dediler; kullanıcıların hackerların verilerin hiçbir kopyasını tutmadığına buna dayanarak inanmasını mı bekliyorlar?
    • Hackerlara fidye ödemenin yasa dışı olduğunu sanıyordum ama demek ki ya yasal ya da hukuken net değil. En azından şirketin, fidyenin devletin ödeme yaptırım listesinde yer alan bir hacker grubuna gitmediğini doğrulamak için kolluk kuvvetleriyle birlikte çalışması gibi bir şart olduğunu sanıyordum
      Saldırının kök nedenini de merak ediyorum. İnternette bunun, ShinyHunters’ın sık kullandığı bir yöntem olan Salesforce Experience Cloud sitesi açığıyla ilgili olabileceğine dair söylentiler gördüm ama doğrulanmış değil. Kesin doğrulanan tek şey, açığın Canvas’ın “Free-For-Teacher accounts” özelliğiyle ilgili olduğuydu
    • Parayı alan kötü adamlar bilgiyi yeniden yayımlarsa, bu hem kendilerinin gelecekte para alma ihtimalini hem de diğer kötü adamların para alma ihtimalini azaltır
      Bu yüzden başka suçluların bile, para aldıktan sonra bilgiyi sızdıranları durdurmak için teşviki vardır

  • We received digital confirmation of data destruction (shred logs).
    Bu şaşırtıcı derecede safça bir ifade

    • Hackerların veriyi söz verdikleri gibi imha etmek için teşvikleri var. Çünkü fidye ödendiği halde verilerin yine de sızdığı yönünde bir algı yerleşirse gelecekte kimse fidye ödemez
      Elbette bu, hackerların veriyi gizlice satıp sonra da “bunu biz yapmadık, aynı veriyi başka bir saldırıyla elde eden biri yaptı” demelerini engellemez
    • Safça olmaktan çok, müşterilerin saf olmasına güveniyor gibi geliyor
    • Veriyi kopyalayıp sadece kopyalardan birini imha etmediklerini ya da hatta imha kayıtlarını tamamen uydurmadıklarını nasıl garanti edebilirsiniz
    • Umarım bu sadece yüz kurtarmaya dönük bir PR ifadesidir. Yine de şirketlerin böyle iddialarda bulunmayı bırakmasını isterim
  • İyi bir bilgi teknolojisi kamu projesi, fidye talebine boyun eğen kuruluşların açık bir listesini tutmak olabilir; böylece biz de başka yerlere yönelebiliriz
    Yine de iftira sorumluluğu ihtimali karşısında cesaret isteyen bir iş olurdu. Bir sorumluluk reddi beyanının bu riski çok azaltacağını sanmıyorum
    • Yani işinizi, hacklenmiş ama fidye ödemediği için müşteri verileri sızdırılmış bir yere mi taşımak isterdiniz?

  • The data was returned to us.
    Benim anladığım kadarıyla veri [1] kopyalanmış. Orijinali şifrelenmemiş ya da silinmemişse buna verinin “iade edilmesi” demezdim. Bu ifade kafa karıştırıcı ama belki sektörde yaygın bir kullanımdır
    Bu Monero için olumlu bir gelişme[2]. Ocak ayındaki yükseliş de hack olaylarından kaynaklanmış olabilir[3]
    ShinyHunters sitesinde Canvas listelenmişti[4], sonra kaldırıldı[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Hackerların bir sonraki fidyeyi alabilmesi için veriyi sızdırmamaya yönelik teşvikleri vardır diye düşünüyorum
    • Veri sızıntılarında verinin gerçekten “çalınmasının” nadir olduğunu vurgulamak için iyi bir zaman. Asıl tehdit ve zarar, çalınan verinin birine karşı olumsuz biçimde kullanılmasıyla ortaya çıkar
    • Alıntıladığınız şeyin hemen sonraki satırı şu:

      We received digital confirmation of data destruction (shred logs).
      Silinmediyse şaşırtıcı olmaz ama sanırım bu yüzden “iade edildi” diyorlar. Onların inancına göre veri “iade edildikten” sonra silinmiş oldu

  • Uzun vadede, böyle bir şirketin hacklenip rüşvet benzeri bir fidye ödedikten sonra bir şekilde batmasının daha iyi olup olmayacağını merak ediyorum
    Hack olaylarının bedelinin çok düşük olduğunu düşünüyorum. Özellikle üst düzey yöneticiler ya da yönetim kadrosu için bu, sadece somut zaman ve kaynak maliyeti olan soyut bir mesele gibi ele alınıyor
    • Veri ihlalinin şirketin çöküşe geçmeye başladığı an olduğunu kabul eden hiçbir şirket görmedim
      İhlal sonrasında müşteriler de kitlesel olarak ayrılmıyor. Parası yetersiz ve aşırı yük altındaki 7.000 eğitim kurumu bir anda başka yere geçmeyecek
      Bu yüzden veri ihlallerinin şirket üzerinde kalıcı bir etkisi olmadığını varsaymak güvenli. Birkaç ay sonra herkes unutur
  • ShinyHunters sayfasından kayboldu ve toparlanma da fazla hızlı oldu; o yüzden böyle olacağını düşünmüştüm. En merak ettiğim şey ne kadar ödedikleri
    Verinin güvende olduğu ya da imha edildiği yönündeki ifadeleri de pek sevmiyorum. Böyle olaylarda bu tür vaatler oldukça şüpheli görünüyor
  • Böyle bir şeyi muhasebede nasıl işlerler? Gider kalemine ne ad verirler? Şirketler vergi makamlarına hiçbir açıklama yapmadan bilinmeyen bir kripto hesabına büyük miktarda para gönderebilir mi?
    • Fidye muhtemelen sigortacı tarafından ödeniyordur ve bunu yürürlükteki poliçe kapsamındaki bir ödemeye bağlarlar diye düşünüyorum. Vergisel etkisini bilmiyorum, finans ya da muhasebe alanından biri değilim
    • Muhtemelen “veri kurtarma” derlerdi?