Canvas की ऑपरेटर Instructure ने हैकरों को फिरौती चुकाई

 (insidehighered.com)
1 पॉइंट द्वारा GN⁺ 6 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Instructure ने लर्निंग मैनेजमेंट सिस्टम Canvas में दो बार घुसपैठ करने वाले ShinyHunters को फिरौती (Ransom) चुकाई और रिकवरी पर समझौता किया
  • कंपनी ने कहा कि समझौते के तहत हैकरों ने 8,800 से अधिक संस्थानों के लगभग 27.5 करोड़ उपयोगकर्ताओं से जुड़ा उल्लंघित डेटा वापस कर दिया
  • Instructure ने बताया कि उसे डेटा नष्ट किए जाने की पुष्टि के रूप में shred logs मिले हैं और यह आश्वासन भी मिला है कि ग्राहकों से आगे अतिरिक्त उगाही नहीं की जाएगी
  • ShinyHunters ने नाम, ईमेल, छात्र ID और निजी संदेशों के लीक होने की चेतावनी दी थी, और Canvas ठप होने से विश्वविद्यालयों को परीक्षाएं और समय-सीमाएं टालनी पड़ीं
  • National Cybersecurity Alliance के Cliff Steinhauer ने कहा कि फिरौती का भुगतान हमले को इनाम देने और लंबे समय के exposure के जोखिम को बढ़ा सकता है

Instructure की फिरौती अदायगी और Canvas की बहाली

  • Instructure ने पिछले डेढ़ हफ्ते में अपने लर्निंग मैनेजमेंट सिस्टम Canvas को दो बार हैक करने वाले साइबर अपराधी समूह को फिरौती चुकाई
  • सोमवार रात के update के अनुसार, इस समझौते के तहत हैकरों ने 8,800 से अधिक संस्थानों के लगभग 27.5 करोड़ उपयोगकर्ताओं से जुड़ा उल्लंघित डेटा वापस किया
  • Instructure ने कहा कि उसे डेटा नष्ट किए जाने की डिजिटल पुष्टि के रूप में shred logs मिले और यह आश्वासन भी मिला कि इस घटना के कारण “Instructure के ग्राहकों से सार्वजनिक रूप से या किसी अन्य तरीके से उगाही नहीं की जाएगी”
  • कंपनी ने कहा कि यह समझौता “प्रभावित सभी Instructure ग्राहकों” को कवर करता है, और अलग-अलग ग्राहकों को Canvas में दो बार घुसपैठ कर उसे अस्थायी रूप से निष्क्रिय करने वाले उगाही समूह ShinyHunters से संपर्क करने की “ज़रूरत नहीं है”
  • Instructure का कहना है कि साइबर अपराधियों से निपटते समय पूरी निश्चितता संभव नहीं होती, लेकिन ग्राहकों को यथासंभव अतिरिक्त भरोसा देने के लिए जो भी कदम उसके नियंत्रण में हैं, वे उठाना महत्वपूर्ण है
  • कंपनी ने कहा कि वह forensic analysis support, environment hardening और संबंधित डेटा की व्यापक समीक्षा के लिए विशेषज्ञ फर्मों के साथ काम जारी रखे हुए है, और काम आगे बढ़ने पर अपडेट देगी

ShinyHunters की मांगें और Canvas सेवा बाधित होना

  • Instructure ने समझौते की रकम का खुलासा नहीं किया, लेकिन यह समझौता ShinyHunters द्वारा तय 12 मई की फिरौती deadline से एक दिन पहले हुआ
  • ShinyHunters का संबंध University of Pennsylvania, Princeton University और Harvard University में हालिया डेटा उल्लंघनों से भी जोड़ा गया है
  • ShinyHunters की Canvas में घुसपैठ से गंभीर सेवा बाधा हुई, और उसने Instructure को चेतावनी दी कि अगर पैसे नहीं दिए गए तो नाम, ईमेल पते और छात्र ID नंबर वाले उपयोगकर्ता डेटा को लीक कर दिया जाएगा
  • 3 मई को Ransomware.live पर पोस्ट किए गए फिरौती पत्र में ShinyHunters ने दावा किया कि उसके पास “छात्रों और शिक्षकों के बीच, तथा छात्रों के आपस में, अरबों निजी संदेश”, निजी बातचीत और अन्य व्यक्तिगत पहचान योग्य जानकारी है
  • हैकरों ने Instructure से 6 मई 2026 तक संपर्क करने की मांग की और चेतावनी दी कि ऐसा न करने पर वे डेटा लीक करेंगे और “परेशान करने वाली डिजिटल समस्याएं” पैदा करेंगे
  • ऐसा लगा कि Instructure ने उस मांग का जवाब नहीं दिया, लेकिन उसने सुरक्षा समस्या को संभाला और मंगलवार, 5 मई तक Canvas पूरी तरह चालू हो गया
  • हालांकि, गुरुवार को Canvas उपयोगकर्ता फिर से अपने अकाउंट तक पहुंच नहीं पा रहे थे, और अंतिम परीक्षाओं व सेमेस्टर-अंत असाइनमेंट की तैयारी कर रहे कई उपयोगकर्ताओं को केवल हैकरों का संदेश दिख रहा था
  • हैकर संदेश में कहा गया, “ShinyHunters ने Instructure में फिर से घुसपैठ की,” और दावा किया गया कि Instructure ने उनसे संपर्क किए बिना केवल security patch लगाए
  • संदेश में प्रभावित स्कूलों से कहा गया कि यदि वे डेटा सार्वजनिक होने से रोकना चाहते हैं, तो वे cyber advisory firm से सलाह लें और TOX के जरिए निजी संपर्क कर समझौते पर बातचीत करें; संस्थानों और Instructure के लिए 12 मई की समय-सीमा दी गई
  • RansomLook पर पोस्ट किए गए फिरौती पत्र में ShinyHunters ने दावा किया कि Instructure ने स्थिति को समझने या डेटा सार्वजनिक होने से रोकने के लिए बातचीत करने की कोशिश नहीं की, और उसकी मांग की गई रकम भी उतनी अधिक नहीं थी जितनी सोची जा रही थी

विश्वविद्यालयों की प्रतिक्रिया और Instructure की communication strategy में बदलाव

  • Canvas आउटेज जारी रहने पर कई विश्वविद्यालयों ने परीक्षाएं और final project deadlines टाल दीं और समस्या के हल होने का इंतजार किया
  • Instructure के CEO Steve Daly ने दूसरी घुसपैठ के बाद कंपनी की वेबसाइट पर update में माना कि पिछले हफ्ते कंपनी सार्वजनिक रूप से बोलने से पहले तथ्यों की सटीक पुष्टि करना चाहती थी, लेकिन उसने संतुलन गलत कर दिया
  • Daly ने कहा, “हम तथ्य सत्यापित करने पर केंद्रित रहे, और जब आपको लगातार updates की ज़रूरत थी तब हम चुप रहे,” और उन्होंने कहा कि आगे इसे बदला जाएगा
  • इसके बाद ऐसा लगा कि Instructure ने हैकरों के साथ संचार भी शुरू कर दिया, और सोमवार दोपहर वेबसाइट पर सूचना दी कि “सभी Canvas environments उपलब्ध हैं”

फिरौती भुगतान के जोखिम

  • National Cybersecurity Alliance में information security और engagement के निदेशक Cliff Steinhauer ने कहा कि फिरौती भुगतान से Instructure की तात्कालिक समस्या हल हुई हो सकती है, लेकिन यह सामान्य cybersecurity response principles के खिलाफ जाता है
  • Steinhauer ने कहा कि फिरौती का भुगतान “एक खतरनाक feedback loop” बना सकता है, जिसमें हमलावरों को सफल घुसपैठ के लिए प्रभावी रूप से इनाम मिलता है
  • भले ही कोई संगठन यह मान ले कि उसने तात्कालिक संकट “सुलझा” लिया है, इससे cyber extortion के economic incentives मजबूत होते हैं और threat actors को यह संकेत जाता है कि बड़े शिक्षा platforms या critical services को निशाना बनाना लाभदायक है
  • उन्होंने कहा कि जैसा law enforcement agencies लगातार चेतावनी देती रही हैं, फिरौती भुगतान पूरे उद्योग में और हमलों को बढ़ावा देता है और भुगतान को incident response strategy के रूप में सामान्य बना देने का जोखिम पैदा करता है
  • Steinhauer ने यह भी कहा कि Instructure और ShinyHunters के बीच समझौता trust और certainty से जुड़े सवाल छोड़ता है
  • उनका कहना था कि भले ही अपराधी यह दावा करें कि चोरी किया गया डेटा मिटा दिया गया है या उसके नष्ट होने का “सबूत” दें, उसे विश्वसनीय रूप से सत्यापित करने का कोई तरीका नहीं है; अतीत में ऐसे डेटा को अक्सर संभाल कर रखा गया, दोबारा बेचा गया या भविष्य की उगाही में फिर इस्तेमाल किया गया है
  • जोखिम के लिहाज से, कोई संगठन सामने दिख रही अल्पकालिक सेवा बाधा के बदले लंबे समय के exposure की समस्या मोल ले सकता है, जो महीनों या वर्षों बाद फिर उभर सकती है, और तब उसे रोकने के लिए अतिरिक्त leverage भी नहीं बच सकता

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 6 시간 전
Hacker News की राय
  • कुछ साल पहले न्याय विभाग का एक अधिकारी ऐसी कॉन्फ़्रेंस में गया था जहाँ ransom payment पर पैनल चर्चा हुई थी
    उसने इसे kidnapping ransom जैसा बताया था। अगर किसी अमेरिकी को बंधक बनाया जाता है, तो हर परिवार पैसे देना चाहता है, लेकिन उसका नतीजा यह होता है कि अमेरिकियों का अपहरण करने का एक उद्योग खड़ा हो जाता है। उसके अनुसार, कांग्रेस ने अपहरणकर्ताओं को पैसे देना अवैध बनाकर इसे रोकने की कोशिश की, और जब यह कम लाभकारी हो गया तो अमेरिकियों के अपहरण कम हुए, जबकि यूरोपियनों को निशाना बनाया जाने लगा
    उसका सुझाव था कि इस तरह के मामलों में अक्सर शामिल होने वाले cybersecurity consultants और insurers को चेतावनी देना शुरू किया जाए कि प्रतिबंधित देशों को भुगतान करना पहले से ही अवैध होने की काफी संभावना है और यह जांच का विषय बन सकता है। शुरुआत में जो लोग पकड़े जाएंगे उन्हें भारी नुकसान होगा, लेकिन अंततः उद्योग रुख बदलेगा और अमेरिकी कंपनियों को कम निशाना बनाएगा
    • यही सही दिशा है। ransomware अपराध उद्योग को फिर से खड़ा करने के लिए पैसा देने के बजाय, कंपनियों को backup से restore करने के लिए मजबूर करना और अपराध की आर्थिक प्रेरणा खत्म करना बेहतर है
      जो executives नियमित backup ठीक से नहीं कराते, उन्हें स्वाभाविक रूप से जिम्मेदार ठहराया जाना चाहिए
    • किसे लगा होगा कि किशोरों को cryptocurrency में लाखों डॉलर देना अच्छा विचार है
      वह पैसा सिर्फ और अधिक vulnerability attacks और और अधिक बेवकूफी पर खर्च होगा, और यह नीचे की ओर अंतहीन दौड़ है। ShinyHunters के ऊपरी समूह Lapsus$ ने भी अपनी वेबसाइट पर लिखा था कि वे कंपनी नेटवर्क के अंदर access खरीदना चाहते हैं। उन्हें data नहीं, सिर्फ रास्ता चाहिए
      जब आप अपराधियों को trace करना मुश्किल cryptocurrency में लगातार लाखों डॉलर देते रहते हैं, तो यही होता है
    • मुझे समझ नहीं आता कि ऐसे ransom payment anti-money laundering कानूनों का उल्लंघन क्यों नहीं हैं। ऐसा नहीं लगता कि किसी ने यह verify किया होगा कि भुगतान पाने वाला पक्ष प्रतिबंधित नहीं है या किसी sanctioned संगठन से जुड़ा नहीं है
    • क्या अमेरिका में अपहरणकर्ताओं को पैसे देना सचमुच अवैध है? मुझे ऐसा कोई सबूत नहीं मिला कि ऐसा कानून वास्तव में पारित हुआ था
  • game theory और आर्थिक incentives पर बहुत अच्छी बातें हैं, लेकिन इससे भी महत्वपूर्ण और आत्मरक्षात्मक बात यह है: अगर आप ransom देते हैं, तो hackers 10 गुना ज़्यादा आएंगे
    ransom payment तीन संकेत देता है: आप हमले के प्रति कमजोर हैं, आप हमले से recover नहीं कर सकते, और आपके पास cash है। नतीजतन आप पर बहुत ज़्यादा हमले होते हैं। आप पूछ सकते हैं कि मुझे यह कैसे पता है, लेकिन मैं जवाब नहीं दूंगा
  • एक ओर, हर बार ransom देने पर आप वैसे ही लोगों को ransomware business शुरू करने या बढ़ाने के लिए प्रोत्साहित करते हैं, इसलिए यह अच्छा नहीं है
    दूसरी ओर, जो ransomware संगठन लंबे समय तक धंधा चलाना चाहते हैं, उन्हें data प्रकाशित या delete न करने के मामले में “ईमानदार” होना पड़ता है। तभी वे खुद को भरोसेमंद ransomware operators बनाए रख सकते हैं, जो अपने आप में अजीब तरह से मज़ेदार है। कई मामलों में पीड़ित data leak होने की तुलना में ransomware operators को पैसे जाना पसंद करते हैं। इसलिए मौजूदा पीड़ित के लिए भुगतान करना सबसे अच्छा विकल्प हो सकता है, लेकिन यह भविष्य के पीड़ितों की संभावना बढ़ाता है
    ransomware की dynamics और economics दिलचस्प हैं
    • यही हमेशा ransom की game theory होती है, और यह एक典型 collective action problem तथा prisoner’s dilemma का रूप है
      हर अलग कंपनी के लिए ransom देना लाभकारी होने की संभावना ज़्यादा हो सकती है, लेकिन अगर सभी ransom न दें तो कुल मिलाकर सबकी स्थिति बेहतर होती है
      इसलिए अमेरिका जैसी जगहों पर आधिकारिक no-ransom policy है, और ऐसी दूसरी no-ransom policies भी मौजूद हैं। अगर individual victims को भुगतान करने से रोकने का कोई enforced mechanism न हो, तो हमेशा भुगतान की ओर incentive पैदा होगा और ransom लाभकारी बना रहेगा
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • मुझे नहीं पता कि attackers की reputation इतनी मायने रखती भी है या नहीं। ये लोग कभी भी नए नाम से rebranding कर सकते हैं। वैसे भी ये anonymous cybercriminals हैं, और reputation laundering के अलावा भी उनके पास ऐसा करने के बहुत कारण हैं
      वही लोग “नया” नाम इस्तेमाल करें या पुराना, पीड़ित के नज़रिए से जब सिस्टम बंधक बना हो तो गणना बहुत अलग नहीं लगती
    • ransom payment हमेशा अवैध होना चाहिए, और जिस कर्मचारी ने भुगतान मंज़ूर किया हो उसके खिलाफ federal criminal prosecution होनी चाहिए। उसके परिणामस्वरूप कंपनी बर्बाद हो जाए या लोग मर जाएं, तब भी उसे स्वीकार्य बलिदान माना जाना चाहिए
    • अगर मान लिया जाए कि ransomware हमेशा रहेगा और किसी भी समय सारा data बंधक बनाया जा सकता है, तो दुनिया भी उसी हिसाब से डिज़ाइन होगी
      आखिरकार कोई Discworld-शैली का “ransomware guild” बन जाएगा जो “insurance premium” लेकर बिना अनुमति data को बंधक बनाने वालों से निपटेगा, या फिर end-to-end encryption आधारित सिस्टम बनेंगे जिनमें data ही बेकार हो जाएगा
    • मैं कभी-कभी “benevolent terrorist”[0] के विचार के बारे में सोचता हूं। मतलब, बेहतर दुनिया के लिए कुछ लोगों को बहुत नुकसान पहुंचाने वाला अस्तित्व। Dune का Kwisatz Haderach इसका एक आदर्श उदाहरण है, इसलिए यह पूरी तरह मौलिक विचार नहीं होगा, लेकिन कभी यह सोचना मज़ेदार लगा कि अगर कोई ऐसी ransomware कंपनी चलाए जो ransom लेने के बाद कभी वादा पूरा ही न करे तो क्या होगा
      इससे बहुत से लोग बर्बाद होंगे, लेकिन जितना बेहतर आप उनकी नकल करें और पैसे लेने के बाद recover न कराएं, उतना ही अंततः ransomware को व्यवसाय बनाना असंभव बनाया जा सकता है। भला इसमें क्या गलत हो सकता है? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • आखिरकार यह सब मुझे ऐसा लगता है मानो कहा जा रहा हो, “हमने ransom दे दिया, लेकिन बुरे लोगों ने कहा है कि सब ठीक है, इसलिए चिंता मत करो,” और इसे image management की पैकेजिंग में बहुत ज़ोर से लपेट दिया गया है
    • उन्होंने कहा कि उन्हें “data destruction की digital confirmation (shred logs)” मिली, लेकिन क्या इससे users को यह भरोसा दिलाना है कि hackers ने data की एक भी copy नहीं रखी?
    • मैं सोचता था कि hackers को ransom देना अवैध है, लेकिन लगता है कि यह या तो वैध है या स्थिति स्पष्ट नहीं है। कम से कम मुझे इतना पता था कि कंपनी को law enforcement के साथ मिलकर यह सुनिश्चित करना होता है कि ransom किसी ऐसे hacker group तक न जाए जो government sanctions list में हो
      मैं हमले के मूल कारण को लेकर भी जिज्ञासु हूं। ऑनलाइन अफवाह देखी कि यह शायद ShinyHunters के अक्सर इस्तेमाल किए जाने वाले Salesforce Experience Cloud site vulnerability pattern से जुड़ा हो सकता है, लेकिन इसकी पुष्टि नहीं हुई। जो बात पक्की लगी वह यह थी कि vulnerability Canvas की “Free-For-Teacher accounts” सुविधा से जुड़ी थी
    • अगर पैसे लेने वाले बुरे लोग बाद में जानकारी फिर से सार्वजनिक कर दें, तो वे न सिर्फ अपने भविष्य के भुगतान की संभावना घटाते हैं बल्कि दूसरे बुरे लोगों के भुगतान की संभावना भी कम कर देते हैं
      इसलिए दूसरे अपराधियों के पास भी यह incentive होता है कि वे पैसे मिलने के बाद जानकारी leak करने वालों को रोकें

  • We received digital confirmation of data destruction (shred logs).
    यह चौंकाने वाली हद तक भोली बात है

    • hackers के पास वादे के मुताबिक data नष्ट करने की incentive होती है। अगर यह पैटर्न जम जाए कि ransom देने पर भी data leak होता है, तो आगे कोई भी ransom नहीं देगा
      बेशक, इससे यह नहीं रुकता कि hackers data को चुपचाप बेच दें और फिर कहें, “वह हम नहीं थे, किसी और ने दूसरे hack से वही data हासिल करके किया होगा”
    • यह भोला नहीं, बल्कि शायद इस उम्मीद पर टिका है कि ग्राहक भोले हैं
    • data copy करने के बाद उन्होंने सिर्फ एक copy ही destroy की हो, या shred logs ही नकली बना दिए हों, यह कैसे सुनिश्चित होगा
    • बस उम्मीद है कि यह इज्जत बचाने वाली PR language हो। फिर भी मैं चाहता हूं कि कंपनियां ऐसे दावे करना बंद करें
  • एक अच्छा सार्वजनिक IT प्रोजेक्ट शायद यह होगा कि ransom demand के आगे झुकने वाले संगठनों की सार्वजनिक सूची रखी जाए, ताकि हम किसी और को चुन सकें
    हालांकि defamation liability के जोखिम के सामने ऐसा करना हिम्मत का काम भी होगा। लगता नहीं कि disclaimer लिख देने से वह जोखिम बहुत कम हो जाएगा
    • तो क्या आपका मतलब है कि आप अपना कारोबार उस जगह ले जाएंगे जहाँ hack तो हुआ लेकिन ransom नहीं दिया गया, और परिणामस्वरूप customer data leak हो गया?

  • The data was returned to us.
    मेरी समझ में data की copy बनाई गई थी[1]। जब तक original encrypt या delete न किया गया हो, मैं यह नहीं कहूंगा कि data “वापस” किया गया। यह अभिव्यक्ति उलझाने वाली है, हालांकि शायद उद्योग में आम हो
    यह Monero के लिए bullish है[2]। जनवरी की pumping भी hack की वजह से रही हो सकती है[3]
    ShinyHunters की वेबसाइट पर Canvas आया था[4] और फिर हट गया[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • अगला ransom पाने के लिए hackers के पास leak न करने की incentive होने की संभावना है
    • यह याद दिलाने का अच्छा समय है कि data breaches में data वास्तव में “चोरी” हो जाना कम ही होता है। असली खतरा और नुकसान तब होता है जब चोरी किया गया data आपके खिलाफ इस्तेमाल होने लगता है
    • उद्धृत पंक्ति के ठीक बाद अगली पंक्ति यही है:

      We received digital confirmation of data destruction (shred logs).
      अगर उन्होंने delete नहीं किया होता तो यह चौंकाने वाली बात नहीं होती, लेकिन शायद इसी वजह से वे इसे “returned” कह रहे हैं। उनके विश्वास के अनुसार data “वापस” करने के बाद delete किया गया

  • लंबे समय में सोचता हूं कि क्या बेहतर यही होगा कि ऐसी कंपनी hack हो और bribe-जैसा ransom देने के बाद किसी न किसी तरह बर्बाद हो जाए
    मुझे लगता है कि hacking की कीमत बहुत कम है। खासकर senior management या executive स्तर पर इसे सिर्फ एक abstract चीज़ की तरह देखा जाता है जिसमें कुछ समय और resources खर्च होते हैं
    • मैंने कभी किसी कंपनी को यह स्वीकार करते नहीं देखा कि data breach वही बिंदु था जहाँ से उसका पतन शुरू हुआ
      breach के बाद customers बड़े पैमाने पर छोड़कर भी नहीं जाते। 7,000 शिक्षा संस्थान, जिनके पास पैसे की कमी है और जो पहले से ही overworked हैं, एक साथ migrate भी नहीं करेंगे
      इसलिए यह मान लेना सुरक्षित है कि data breach का कंपनी पर कोई स्थायी असर नहीं होगा। कुछ महीनों में सब भूल जाएंगे
  • ShinyHunters पेज से यह हट गया और recovery भी बहुत तेज़ थी, इसलिए मुझे यही उम्मीद थी। मेरी सबसे बड़ी जिज्ञासा यह है कि कितना भुगतान किया गया
    उनका यह कहना भी मुझे पसंद नहीं कि data सुरक्षित है या नष्ट कर दिया गया है। ऐसे मामलों में इस तरह के वादे काफी संदिग्ध लगते हैं
  • ऐसी चीज़ का accounting treatment कैसे होता है? इसे किस expense item में डाला जाता है? क्या कोई कंपनी tax authorities को बिना कुछ समझाए किसी अज्ञात cryptocurrency account में बड़ी रकम भेज सकती है?
    • मेरा अनुमान है कि ransom insurer देता होगा, और भुगतान को मौजूदा insurance policy के execution से जोड़ा जाएगा। tax impact क्या होगा, यह नहीं जानता, और मैं finance या accounting का आदमी भी नहीं हूं
    • शायद इसे “data recovery” कहेंगे?