Instructure đạt thỏa thuận với hacker sau hai lần bị tấn công dữ liệu

Instructure, công ty mẹ của nền tảng giáo dục phổ biến Canvas, đã tuyên bố vào thứ Ba rằng họ đã "đạt được thỏa thuận" với nhóm hacker đã xâm nhập vào hệ thống hai lần, đánh cắp lượng lớn dữ liệu của học sinh và nhân viên, đồng thời gây gián đoạn hoạt động của hàng nghìn trường học phụ thuộc vào phần mềm này.

Nhóm tội phạm mạng ShinyHunters, được biết đến với động cơ tài chính, đã nhận trách nhiệm cho vụ tấn công dữ liệu diễn ra vào ngày 29/4. Họ tuyên bố đã đánh cắp dữ liệu của tổng cộng 275 triệu người, bao gồm thông tin cá nhân của học sinh và nhân viên nhà trường. Hacker cho biết đã xâm nhập thành công vào Canvas, nền tảng được gần 9.000 trường học sử dụng để quản lý dữ liệu học sinh và bài giảng.

Chỉ tuần trước, nhóm hacker này đã tiếp tục tấn công công ty lần thứ hai, làm thay đổi giao diện trang đăng nhập của Canvas trên các website trường học như một biện pháp gây sức ép nhằm buộc công ty phải trả tiền chuộc.

Trên trang cập nhật sự cố của mình vào tối thứ Hai, Instructure cho biết theo thỏa thuận đạt được, hacker đã cung cấp bằng chứng cho thấy dữ liệu bị đánh cắp đã bị tiêu hủy và cam kết sẽ không tống tiền các khách hàng sử dụng Canvas.

Tuy nhiên, công ty cũng thừa nhận rằng "không bao giờ có sự chắc chắn tuyệt đối" khi đàm phán với tội phạm mạng, nhưng nhấn mạnh rằng khách hàng không cần phải trực tiếp giao tiếp với những kẻ tấn công này.

Các điều kiện tài chính của thỏa thuận không được tiết lộ và Instructure không nói rõ họ đã trả bao nhiêu tiền cho hacker. Người phát ngôn của Instructure, Brian Watkins, đã từ chối bình luận hoặc trả lời các câu hỏi liên quan đến thỏa thuận khi được liên hệ vào thứ Ba.

Trong một bài đăng trên trang web rò rỉ dữ liệu mà TechCrunch đã kiểm chứng, ShinyHunters trước đó đã đe dọa công bố dữ liệu đánh cắp từ Instructure nếu công ty không đáp ứng yêu cầu tống tiền.

Tính đến thứ Ba, bài đăng này đã bị xóa khỏi trang của ShinyHunters, dấu hiệu cho thấy một khoản tiền chuộc có thể đã được thanh toán.

Một đại diện của ShinyHunters nói với TechCrunch: "Dữ liệu đã bị xóa, biến mất. Công ty và khách hàng của họ sẽ không bị nhắm mục tiêu hoặc liên hệ để đòi tiền bởi chúng tôi nữa."

Hiện vẫn chưa rõ lý do tại sao Instructure lại quyết định trả tiền cho hacker. Các chính phủ, bao gồm cả chính phủ Hoa Kỳ, từ lâu đã khuyên các nạn nhân của tội phạm mạng không nên trả tiền chuộc, vì việc này giúp tội phạm thu lợi từ các cuộc tấn công của mình. Các nhà nghiên cứu bảo mật lập luận rằng nạn nhân không thể tin tưởng vào lời hứa của những kẻ tấn công ác ý — một số tội phạm mạng đã được phát hiện là giữ lại dữ liệu bị đánh cắp bất chấp việc tuyên bố đã xóa, nhằm tiếp tục tống tiền nạn nhân.

Vụ tấn công vào Instructure tương tự như một cuộc tấn công mạng vào PowerSchool vào năm 2024, vốn đã ảnh hưởng đến 70 triệu học sinh và nhân viên. PowerSchool, cũng là một nhà sản xuất phần mềm thông tin trường học, đã trả tiền cho hacker để lấy lại dữ liệu, nhưng sau đó một số khách hàng của họ vẫn tiếp tục bị tống tiền bởi một nhóm tội phạm khác sở hữu dữ liệu từ vụ việc đó chưa bị tiêu hủy.

Cục Điều tra Liên bang Hoa Kỳ (FBI) cho biết trong một tuyên bố tuần trước rằng họ đang "theo dõi" sự gián đoạn hệ thống ảnh hưởng đến các trường học và cơ sở giáo dục trên khắp Hoa Kỳ. Thông báo này không nêu đích danh Canvas, nhưng có đề cập rằng nạn nhân nên "không gửi tiền hoặc phản hồi" các yêu cầu của tội phạm mạng.

Dữ liệu bị đánh cắp từ Instructure, mà một phần đã được TechCrunch xem xét, bao gồm tên học sinh, địa chỉ email cá nhân và các tin nhắn trao đổi giữa giáo viên và học sinh, trong đó có cả thông tin riêng tư và cá nhân.

Trên website của mình, Instructure thừa nhận rằng hacker đã xâm nhập vào hệ thống của công ty hai lần trong vòng chưa đầy một năm, nhưng cho biết hai vụ vi phạm này là "sự kiện riêng biệt" liên quan đến các hệ thống khác nhau.

Instructure cho biết họ vẫn đang điều tra vụ vi phạm và xác minh các phát hiện của mình.

Hiện chưa rõ ai tại Instructure chịu trách nhiệm giám sát an ninh mạng, nếu không phải là giám đốc điều hành Steve Daly. Khi được TechCrunch liên hệ, Instructure đã từ chối cho biết liệu Daly có kế hoạch từ chức sau các vụ rò rỉ dữ liệu này hay không.