Le Comité de la Chambre des représentants des États-Unis chargé de la Sécurité intérieure somme les dirigeants d’Instructure de témoigner sur deux cyberattaques menées par le groupe d’extorsion ShinyHunters. Ces assauts visaient la plateforme Canvas et permirent aux pirates de dérober des données d’étudiants tout en perturbant des écoles pendant les examens finaux.
Andrew R. Garbarino, président du comité, a adressé une lettre au directeur général d’Instructure, Steve Daly, lundi après-midi. Le comité enquête sur la brèche massive qui touche des millions d’étudiants.
Le groupe ShinyHunters a percé les défenses d’Instructure à deux reprises en une semaine. Le 3 mai, l’entreprise a révélé l’intrusion détectée le 29 avril. Les pirates avaient compromis les systèmes et volé des données d’étudiants et de personnel scolaire qui utilisaient Canvas.
Les informations compromises comprennent des noms, adresses e-mail, numéros d’identification des étudiants et messages échangés entre élèves et enseignants. Les mots de passe, données financières ou identifiants gouvernementaux restent intacts.
Ce même 3 mai, ShinyHunters a revendiqué l’attaque auprès de BleepingComputer. Le groupe affirme avoir dérobé 280 millions d’enregistrements auprès de 8 809 établissements, collèges, districts scolaires et plateformes d’enseignement en ligne. Une liste détaille les organisations touchées, avec des volumes de données volées de dizaines de milliers à plusieurs millions par institution.
Source : BleepingComputer
Les pirates ont lancé une seconde offensive qui a défiguré les pages de connexion Canvas dans des écoles et universités américaines. Ils y ont affiché des messages d’extorsion qui exigent des négociations avec Instructure. Ces perturbations ont frappé des institutions dans plusieurs États pendant les examens finaux et les activités de fin de semestre. Certains collèges ont annulé des épreuves.
Source : BleepingComputer
Les assaillants ont exploité plusieurs vulnérabilités XSS (injections de scripts intersites) pour s’emparer de sessions administrateur authentifiées et altérer les pages de connexion.
Des écoles en Californie, Floride, Géorgie, Oklahoma, Oregon, Nevada, Caroline du Nord, Tennessee, Utah, Virginie et Wisconsin ont signalé des interruptions liées à l’incident. Les attaquants expliquent leur seconde frappe par le refus d’Instructure de négocier.
La nuit dernière, ShinyHunters a retiré Instructure de son site de fuite de données. L’entreprise a alors annoncé un accord avec le groupe pour stopper la publication publique et supprimer les données volées.
Le Comité de la Sécurité intérieure juge que ces compromissions répétées soulèvent des interrogations graves sur les capacités de réponse aux incidents d’Instructure et sur ses devoirs de protection des données stockées.
Le comité requiert la participation d’un représentant senior d’Instructure à un briefing au plus tard le 21 mai. Ce rendez-vous portera sur les deux intrusions, les données dérobées, les efforts de confinement et de notification, ainsi que la coordination avec les agences fédérales.