ABD'li Yasama Kurulu'ndan Canvas'a Veri İhlali Sorgusu

ABD Temsilciler Meclisi üyeleri, dünya genelinde milyonlarca öğrencinin kişisel verilerinin çalınmasına yol açan siber saldırılarla ilgili olarak, eğitim yazılımları üreticisi Instructure'dan açıklama bekliyor. İki kez siber saldırıya uğrayan şirketin kriz yönetimi ve güvenlik açıkları, ABD Temsilciler Meclisi İç Güvenlik Komitesi tarafından mercek altına alındı.

Komite Başkanı Temsilci Andrew Garbarino'nun, Instructure CEO'su Steve Daly'ye gönderdiği mektupta, saldırganların sistemlere nasıl defalarca sızabildiği ve hangi veri türlerinin çalındığının açıklanması talep edildi. Olayın ardından ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) da devreye girdiği belirtilirken, komite şirketin CISA ile koordinasyonunun yeterliliğini ve etkilenen okulların bilgilendirilme sürecini sorguluyor.

Popüler eğitim portalı Canvas'ın geliştiricisi olan Instructure, saldırganların aynı güvenlik açığını hem hassas verileri çalmak hem de okul giriş sayfalarını değiştirmek (defacement) için kullandığını kabul etmesi üzerine sert eleştirilere maruz kaldı. Şirket, bu hafta hackerlarla bir "anlaşmaya vardığını" ve saldırganların çalınan verileri sildiklerine dair kanıt sunduğunu iddia etti.

Saldırıyı gerçekleştiren ShinyHunters grubu, TechCrunch'a yaptığı açıklamada şirketi veya müşterilerini şantaj yoluyla zorlamaya devam etmeyeceklerini belirtti ancak ödenen fidye miktarı hakkında bilgi vermeyi reddetti. Güvenlik uzmanları ise fidye ödemelerinin gelecekteki saldırıları finanse ettiğini ve hackerların verileri sildiklerini iddia etseler bile genellikle şantaj için saklamaya devam ettiklerini hatırlatıyor.

Temsilci Garbarino, aynı grup tarafından gerçekleştirilen ikinci ihlalin, şirketin olay müdahale kapasitesi ve veri sahibi kurumlara karşı sorumlulukları konusunda "ciddi sorular" doğurduğunu vurguladı. Garbarino, büyük bir eğitim teknolojisi sağlayıcısının ilk sızmadan sonra tehdidi kontrol altına alamamasının, komitenin incelemesi gereken sistemik bir zafiyet olduğunu ifade etti.

Instructure cephesinden ise henüz resmi bir yanıt gelmedi. Şirket sözcüsü Brian Watkins'in konuya ilişkin yorum taleplerini cevapsız bıraktığı bildirildi.