教育テクノロジー大手の Instructor は、セキュリティ上の脆弱性により、ハッカーが Canvas ログイン ポータルを変更し、恐喝メッセージを残すことが可能になったことを確認しました。
BleepingComputer は、ハッキングと改ざんの両方に、攻撃者が認証された管理セッションを取得できる複数のクロスサイト スクリプティング (XSS) の脆弱性が関与していたことを知りました。
2回目のハッキングは、1週間前に明らかになった最初の侵害を受けて、Instrukturに注目を集め、身代金を支払う交渉に入るよう圧力をかけることであった。
Instructural は、課題やコースワークを管理するために世界中の学校や大学で使用されている人気のある学習管理システム (LMS) である Canvas の開発者です。
同社は4月29日、自社のネットワークが侵害されたことを発見し、「ただちに不正者のアクセスを取り消し、調査を開始し、外部の法医学専門家を派遣した」。
数日後、同社はサイバー攻撃でデータが盗まれたことを確認し、シンハンターズは自社のデータ侵害サイトにInstructorを掲載し、3.6テラバイト以上の非圧縮データを盗んだと述べた。
Instructor に身代金の支払いを強制しようとして、攻撃者は 5 月 7 日に、最初の侵害で使用されたのと同じ脆弱性を使用して再び Instructor をハッキングしました。
ShinyHunters は、XSS バグを悪用する悪意のある JavaScript をユーザー生成のコンテンツ属性に挿入し、認証された管理者セッションへのアクセスを許可し、承認されたアクションを実行できるようにしました。
In Structure は日曜日に BleepingComputer に宛てた電子メールの中で、悪用されたセキュリティ問題が Free-for-Teacher 環境、つまり個人の教育者向けの Canvas LMS の無料限定版に影響を与えたことを認めました。
「許可されていない攻撃者が、一部の生徒と教師が Canvas 経由で接続したときに表示されるページを変更しました」 – 構造
当時、同団体は、悪意のある活動の拡散を防ぎ、原因を特定し、「追加の安全策を適用する」ため、Canvasを一時的にオフラインにしたと付け加えた。
ShinyHunters はこの欠陥を利用して Canvas のログイン ポータルにメッセージを追加し、同社とそのプラットフォームを使用している学校は 5 月 12 日までに身代金の交渉をしなければならないと警告しました。
、
Instructor は、問題が解決されるまで Free-For-Teacher アカウントを閉鎖しました。ただし、Canvas は復旧し、5 月 9 日から使用できるようになりました。
Canvas のログイン ポータルが侵害されたときにデータは侵害されませんでしたが、最初の侵害で ShinyHunters が抽出したデータには、ユーザー名、電子メール アドレス、コース名、登録情報、メッセージが含まれていた可能性があります。
ShinyHunters によると、このインフラ侵害は 8,809 の教育機関 (学校、大学、カレッジ、オンライン プラットフォーム) に影響を及ぼし、ハッカーらは学生、教師、その他のスタッフに属する 2 億 7,500 万件の記録を盗んだと主張しています。
人工知能は、CPU と OS の両方のサンドボックスをバイパスする 4 つのゼロデイを 1 つのエクスプロイトに連鎖させました。新しいエクスプロイトの波が来ています。
Autonomous Verification Summit (5 月 12 日と 14 日) では、コンテキスト豊富な自律検証がどのようにエクスプロイトを発見し、制御が行われていることを証明し、修復ループを閉じるかをご覧ください。
自分の場所を主張しましょう
