Et massivt nettangrep som forkrøplet Canvas nettbaserte læringsplattform mens finalen var i gang ved mange universiteter, kunne få dem til å rote i så lenge som en måned – og utsette utdanningsprogramvaregiganten for store juridiske og økonomiske nedfall, sa cybersikkerhetseksperter til The Post.
Bruddet på den populære læringsplattformen, eid av Instructure, forstyrret kursarbeid, eksamener og studentkommunikasjon ved universiteter og skolesystemer over hele USA og utover etter at hackere knyttet til den beryktede ShinyHunters-gruppen sa at de infiltrerte systemet og avslørte sensitive brukerdata. Gruppen målrettet mot nesten 9000 skoler og fikk tilgang til data fra over 275 millioner mennesker, ifølge et løsepengebrev delt på nettet.
Instructure sa at navn, e-postadresser, student-ID-numre og private meldinger ble kompromittert, selv om den la til at det ikke var bevis for at passord, personnummer eller økonomiske data ble avslørt.
Nå står skoler overfor en skremmende gjenopprettingsprosess som kan strekke seg flere uker utover den første driftsstansen.
«Det store spørsmålet er hvordan skoler kunne ha forhindret dette,» sa Don Beeler, leder av TDR Technology Solutions, et New York-basert selskap for cybersikkerhet og trusselforebygging.
«Det er teknologi tilgjengelig som kan redusere innvirkningen på skolene. De som har det vil være raskere i drift.»
Beeler sa at institusjoner kanskje må anta at bruddet spredte seg utover Canvas selv og infiserte deres interne systemer.
«Avhengig av bruddet, vil de fleste skoler måtte anta at dette har påvirket andre interne systemer,» sa han til The Post.
«Avhengig av skolens cybersikkerhetsfotavtrykk kan dette bety at det kan ta en til fire uker å løse. De må kanskje slå av alle datamaskiner og rense dem før de slår på noe igjen.»
Nettangrepet kom i løpet av en av de mest stressende tidene i studieåret, med alle fra proff og adjunkter til studenter som stolte på Canvas for avsluttende eksamener, karaktersetting og innlevering av oppgaver.
Flere universiteter deaktiverte midlertidig tilgangen til plattformen mens IT-avdelingene deres kjørte for å fastslå omfanget av datainnbruddet.
Instructure sa at de oppdaget uautorisert aktivitet 29. april og senere knyttet inntrengningen til et problem som involverte deres «Free-For-Teacher»-kontoer.
Selskapet tok Canvas offline på torsdag etter at påloggingssidene angivelig ble endret, og utløste omfattende strømbrudd og panikk på tvers av campuser rundt om i verden.
Hendelsen reiser allerede spørsmål om hvorvidt Instructure og berørte skoler hadde nok cyberforsikringsdekning til å absorbere nedfallet.
«Cyberforsikringsdekning vil være et stort tema,» sa Beeler til The Post. «Retningslinjene varierer. Vil de dekke dette, vil være et stort spørsmål.»
Juridisk eksponering kan bli en annen stor hodepine.
«Det andre problemet er bøtene som Canvas kan bli utsatt for som et resultat av å tillate PII av studenter å bli utsatt,» sa Beeler, med henvisning til personlig identifiserbar informasjon.
«Statens lover varierer på dette spørsmålet. Noen kan være betydelige hvis det blir funnet at de ble avslørt.»
Selskapet sa at det har engasjert eksterne rettsmedisinske eksperter og varslet rettshåndhevelsesbyråer, inkludert Federal Bureau of Investigation og Cybersecurity and Infrastructure Security Agency.
Skoler har i mellomtiden advart studenter og fakulteter om å se etter phishing-e-poster og svindel knyttet til bruddet.
Eksperter sier angrep på sentraliserte utdanningsplattformer kan være spesielt ødeleggende fordi universiteter ofte er avhengige av omfattende nettverk av tredjepartsverktøy koblet til studentjournaler, kurs og kommunikasjonssystemer.
«Samme problem for Canvas,» sa Beeler til The Post.
«Når vi forstår bruddet, vil det bli mer åpenbart hvilken spesifikk teknologi som kunne ha forhindret bruddet.»
Hacket har allerede intensivert gransking av om skoler var altfor avhengige av en enkelt plattform for viktige akademiske operasjoner.
Noen institusjoner skal ha gått over til e-post, Microsoft Teams og skydelingssystemer etter at Canvas ble mørkt.
Andre frafalt sene straffer og forsinkede eksamener da studentene mistet tilgang til oppgaver og kursmateriell.
Instructure har ikke avslørt hvor mange institusjoner som ble direkte berørt, selv om selskapet sier at Canvas brukes av mer enn 8000 skoler og universiteter globalt.
Selskapet sa at de fleste tjenestene var gjenopprettet innen torsdag, selv om noen vedlikeholdsproblemer fortsatt er under etterforskning.
Spørsmål gjenstår om det fulle omfanget av bruddet, om ytterligere systemer ble kompromittert og om regulatorer eller statsadvokater vil starte undersøkelser av eksponeringen av studentdata.
Posten har bedt om kommentar fra Instructure.
