Canvas hacklendi: Şirket, çalınan öğrenci verilerini sildirmek için hackerlara fidye ödedi

Dünya genelinde binlerce üniversite ve kolejde kullanılan eğitim platformu Canvas, geçtiğimiz hafta yaşanan büyük çaplı siber saldırının ardından zor bir karar alarak gündeme oturdu. ABD, Kanada, Avustralya ve İngiltere'deki yaklaşık 9 bin eğitim kurumunu etkileyen ve sınav döneminde ciddi aksamalara yol açan saldırının arkasındaki şirket Instructure, çalınan verilerin yayınlanmaması için saldırganlarla bir anlaşmaya vardığını doğruladı.

Saldırganlar, ele geçirdiklerini iddia ettikleri 3,5 terabaytlık öğrenci ve üniversite verilerini internete sızdırmakla tehdit ediyordu. Instructure, yaptığı açıklamada saldırganların verileri sildiğine dair "dijital onay" aldıklarını ve hiçbir öğrenci ya da kurumun şantaja maruz kalmayacağı konusunda güvence verdiklerini belirtti. Şirket, bu kararı almasındaki temel motivasyonun öğrenci ve eğitim personeli verilerini korumak olduğunu vurguladı.

Siber güvenlik otoriteleri, dünya genelinde fidye ödenmesine kesinlikle karşı çıkıyor. Uzmanlar, ödeme yapmanın saldırganları cesaretlendirdiğini, suç döngüsünü beslediğini ve verilerin gerçekten silindiğine dair hiçbir garanti sunmadığını hatırlatıyor. Geçmişte LockBit gibi siber suç gruplarının, fidye ödenmesine rağmen verileri silmeyip yeniden satışa çıkardığına dair pek çok örnek bulunuyor.

Saldırıyı üstlenen "Shiny Hunters" adlı grup, genellikle şifreli mesajlaşma servisleri üzerinden yürüttükleri pazarlıklar sonrası Bitcoin ile ödeme talep etmeleriyle biliniyor. Instructure, ödeme yapılıp yapılmadığına dair net bir ifade kullanmasa da, sürecin şeffaf bir şekilde yönetilmesi dikkat çekti. Şirket, anlaşmanın tüm etkilenen müşterileri kapsadığını ve bireysel kullanıcıların saldırganlarla temasa geçmesine gerek kalmadığını ifade etti.

29 Nisan'da keşfedilen bu büyük siber saldırı, özellikle sınav dönemindeki öğrencileri mağdur etmiş, birçok öğrencinin ders notlarına ve sınav materyallerine erişimini engellemişti. Şirket, siber suçlularla yürütülen süreçlerde hiçbir zaman tam bir kesinlik olmasa da, müşterilerine bir nebze olsun "gönül rahatlığı" sağlamak adına kontrol edebilecekleri tüm adımları attıklarını savundu.