Nghị sĩ Mỹ yêu cầu Instructure giải thích về các lỗ hổng bảo mật dẫn đến rò rỉ dữ liệu Canvas

Các nghị sĩ Hạ viện Mỹ đang yêu cầu đại diện của Instructure, nhà sản xuất phần mềm giáo dục vừa bị tấn công hai lần, phải cung cấp bằng chứng về phản ứng của công ty trước các cuộc tấn công mạng. Những kẻ tấn công đã lợi dụng sự cố này để đánh cắp dữ liệu cá nhân của hàng triệu sinh viên trên toàn thế giới.

Chủ tịch Ủy ban An ninh Nội địa Hạ viện, Dân biểu Andrew Garbarino, đã viết thư gửi CEO của Instructure là Steve Daly, thông báo rằng ủy ban đang điều tra các vụ hack và vi phạm dữ liệu này. Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Mỹ (CISA) cũng đã được huy động để hỗ trợ xử lý sự cố.

Trong bức thư trích dẫn báo cáo của TechCrunch, ông Garbarino cho biết ủy ban muốn ông Daly giải thích về cách hacker liên tục đột nhập vào hệ thống của Instructure. Các nhà lập pháp cũng yêu cầu công ty công bố các loại dữ liệu bị đánh cắp, cách thức phản ứng và thông báo cho các trường học bị ảnh hưởng, cũng như đánh giá mức độ phối hợp với CISA.

Instructure, công ty đứng sau phần mềm quản lý trường học phổ biến Canvas, đang phải đối mặt với nhiều chỉ trích về cách xử lý sau vụ tấn công. Đặc biệt là sau khi công ty thừa nhận rằng hacker đã khai thác cùng một lỗ hổng để vừa đánh cắp hàng loạt dữ liệu sinh viên nhạy cảm, vừa làm giả trang đăng nhập của các trường học sau đó.

Vào đầu tuần này, công ty xác nhận đã "đạt được thỏa thuận" với hacker và tuyên bố rằng những kẻ tấn công đã cung cấp bằng chứng cho thấy chúng đã xóa dữ liệu bị đánh cắp. Một đại diện của nhóm hacker ShinyHunters nói với TechCrunch rằng họ sẽ không tiếp tục tống tiền công ty hay khách hàng của Instructure, nhưng từ chối tiết lộ số tiền chuộc mà công ty đã trả.

Các chuyên gia bảo mật lâu nay vẫn lập luận rằng việc trả tiền cho hacker chỉ tiếp tay tài trợ cho các cuộc tấn công trong tương lai. Hacker thường được biết đến là vẫn giữ lại dữ liệu bị đánh cắp ngay cả khi tuyên bố đã xóa, với hy vọng sẽ tiếp tục tống tiền nạn nhân một lần nữa.

Ông Garbarino nhận định rằng vụ vi phạm lần thứ hai bởi cùng một nhóm hacker đã đặt ra "những câu hỏi nghiêm trọng về khả năng phản ứng sự cố của công ty và nghĩa vụ của họ đối với các tổ chức và cá nhân nắm giữ dữ liệu".

"Quy mô và thời điểm của vụ vi phạm tại Instructure, cùng với sự bất lực được chứng minh của một nhà cung cấp công nghệ giáo dục lớn trong việc ngăn chặn mối đe dọa sau sự xâm nhập ban đầu, chính xác là loại lỗ hổng mang tính hệ thống mà Ủy ban này có trách nhiệm phải xem xét," ông Garbarino viết trong thư.

Instructure chưa cho biết liệu họ có phản hồi bức thư hay không, hoặc liệu ông Daly - hoặc người chịu trách nhiệm về an ninh mạng tại công ty - có sẽ ra làm chứng hay không.

Người phát ngôn của Instructure, Brian Watkins, đã không phản hồi yêu cầu bình luận của TechCrunch vào thứ Tư.