Canvas bị sập khi ShinyHunters đe dọa rò rỉ dữ liệu trường học

Ý kiến trên Hacker News

• Từ góc nhìn người trong cuộc, tôi đang giảng dạy tại một trường đại học dùng Canvas và hiện đang là tuần thi cuối kỳ
  Hôm nay lúc 5:17 chiều EDT, tôi mới nhận được email thông báo sự cố đầu tiên từ phòng đào tạo, rồi có thêm email lúc 6:24 và 6:57, nhưng phần lớn nội dung là về bồi hoàn và quy trình thay thế hơn là chuyện thực sự đang xảy ra
  Ngoài “gián đoạn trên toàn quốc” và “tấn công an ninh mạng” thì không có chi tiết nào khác, và có vẻ nhà trường cũng không biết gì hơn
  Điều đáng chú ý là đã có chỉ đạo yêu cầu các bài tập nộp qua Canvas phải được sinh viên gửi trực tiếp cho giảng viên qua email, điều này cho thấy có vẻ họ không tự tin rằng hệ thống sẽ sớm khôi phục
  Cá nhân tôi bị ảnh hưởng không nhiều. Tôi dạy CS nên phần lớn bài làm của sinh viên được thực hiện trên thiết bị của khoa và cũng nộp về đó, còn thi thật thì làm trên giấy
  Quan trọng hơn, tôi chưa bao giờ tin vào sổ điểm của Canvas, nên chỉ đăng điểm lên Canvas để sinh viên đối chiếu, còn sổ điểm gốc thì luôn được tôi quản lý bằng bảng tính cục bộ
  Nhưng với nhiều đồng nghiệp của tôi, đây là thảm họa ở mức “tòa nhà bị cháy và toàn bộ bài thi cùng sổ điểm đều biến mất”. Ngay cả những giảng viên chỉ dạy trực tiếp cũng đã chuyển phần lớn việc đánh giá sang tính năng “quiz” của Canvas, làm cả thi cuối kỳ trên Canvas và xem sổ điểm Canvas như hồ sơ gốc
  Phía hành chính cũng khuyến khích làm vậy vì “nộp điểm sẽ dễ hơn”. Những giảng viên kiểu này có rất ít hoặc thậm chí không có sản phẩm học tập nào của sinh viên ở bên ngoài, và vì sinh viên ban đầu làm bài ngay trong Canvas nên cũng không có gì để gửi lại qua email, thậm chí cả điểm số hay hồ sơ điểm danh cũng có thể chỉ được quản lý trong Canvas
  Nếu đã nộp điểm advisory giữa kỳ vào tháng 3 thì có lẽ còn truy cập được chừng đó, nhưng có khi cũng chỉ có vậy
  Cảm giác của tôi là hoặc việc này sẽ được xử lý trong vài giờ, hoặc sẽ kéo dài vài tuần. Nếu có bản sao lưu air-gapped và chỉ cần dựng máy chủ mới thì là trường hợp đầu, còn không thì là trường hợp sau. Có vẻ không có nhiều khoảng giữa
  Nếu đến sáng mai mà vẫn chưa khắc phục xong thì tôi thực sự không biết trường tôi và rất nhiều giảng viên trên toàn quốc sẽ làm sao để nộp điểm một cách công bằng và hợp lý
  Trong trường hợp cực đoan, có thể sẽ phải làm như học kỳ thời dịch, và như học kỳ ở trường tôi khi hai tòa nhà học thuật lớn thực sự bị cháy chỉ một tuần trước kỳ thi cuối, tức là ngay cả những môn vốn cho letter grade cũng phải nộp theo dạng đậu/rớt. Chứ còn làm gì khác được nữa
  Tất nhiên lẽ ra người ta không nên bỏ tất cả trứng vào một giỏ và không nên tin “đám mây” quá mức, nhưng giờ thì mọi chuyện đã rồi. Tôi cũng tò mò không biết về lâu dài có ai rút ra bài học từ chuyện này không
  Cập nhật: tính đến 11:45pm EDT, instance Canvas của trường tôi đã hoạt động trở lại. Hy vọng nó sẽ tiếp tục ổn định, nhưng đề phòng thì tôi vẫn định tải xuống vài thứ

  • Việc gửi email cho sinh viên chứa các bản ghi liên quan khi họ hoàn thành quiz v.v. là chuyện rất đơn giản
    Nhưng người ta không làm vậy vì họ muốn kiểm soát dữ liệu, và tôi không hiểu vì sao các trường đại học lại không yêu cầu điều đó
  • Tôi làm IT trong lĩnh vực giáo dục, và bên tôi cũng gần như không biết gì hơn
    Hôm nay, những gì chúng tôi biết chỉ đến từ các thread trên Reddit và Hacker News. Trong các thông báo chính thức hoàn toàn không hề nhắc đến tấn công, nhưng trang đăng nhập đã bị ShinyHunters chỉnh sửa
  • Có vẻ vẫn có thể áp dụng cách tiếp cận lai. Gấp rút tạo một bài thi cuối kỳ hoặc đồ án, rồi cho sinh viên quyền chọn giữa đậu/rớt hoặc điểm số thực tế
    Và mong rằng rồi sẽ có ngày SaaS biến mất, và chúng ta lại có thể tự triển khai phần mềm mà mình có thể kiểm soát và chỉnh sửa theo nhu cầu
  • Tôi cứ nghĩ chỉ cần tổ chức một bài thi rồi lấy đó làm điểm môn học là được
    Vốn dĩ nên là như vậy, và điểm bài tập trong kỳ hay tệ hơn nữa là điểm danh đâu cần thiết để đánh giá sinh viên có học được nội dung hay không. Cứ thi xong rồi kết thúc là được

• Tôi ngạc nhiên là thread này lại có ít bình luận như vậy. Có lẽ hàng triệu sinh viên đang bị ảnh hưởng đúng vào thời điểm căng thẳng nhất trong năm
  Tôi vốn ghét Canvas và có lẽ là ghét mọi nhà cung cấp hệ thống quản lý học tập khác, nhưng điều đặc biệt buồn cười ở sự cố này là nó xảy ra đúng vào lúc các trường đại học, vì quy định tuân thủ ADA, yêu cầu tất cả giảng viên không ngoại lệ phải đưa toàn bộ tài liệu lên Canvas
  Ví dụ như việc bảo sinh viên tham khảo một file PDF trên website cá nhân cũng bị cấm rõ ràng
  Có vẻ nhiều người ở đây không biết rằng rất nhiều giảng viên cũng chẳng hề thích việc bị ép dùng Canvas

  • Họ vẫn chưa ép được tôi. Nhưng thật buồn khi có quá nhiều người, kể cả trong giới giảng viên ngành máy tính, không thể vận hành nổi hạ tầng online cơ bản cần thiết để hỗ trợ lớp học. Tất nhiên trường đại học cũng không tạo điều kiện dễ dàng
    Một mối lo nghiêm trọng khác tôi có với Canvas là khả năng họ đang dùng mọi tài liệu giảng viên đăng lên để huấn luyện sản phẩm thay thế bằng AI. Đồng nghiệp của tôi đùa đen về chuyện này khá nhiều, nhưng tôi chưa thấy mấy ai hành động thực sự
  • Dạo này sinh viên và người dùng HN có vẻ không còn trùng nhau nhiều. Theo tôi biết thì tôi là ngoại lệ khá hiếm :)
    Phía hành chính đến giờ mới gửi một email mở đầu bằng “Canvas nói rằng”, rồi một giờ sau lại gửi email nói “Canvas đã ngừng hoạt động vô thời hạn” để báo rằng họ biết mức độ nghiêm trọng
    Nếu ai chưa biết thì Canvas gần giống một wiki dùng cho lớp học có thêm các tính năng như quiz
  • Phát trực tiếp lớp học qua Canvas rất phổ biến. Khá nhiều sinh viên chỉ ngồi xem trong ký túc xá
    Vì vậy có thể sinh viên sẽ lại phải quay về lớp, mà chuyện đó chắc sẽ khá đáng xem. Ngày học đầu tiên thì giảng đường gần như kín chỗ đứng, thậm chí có lúc thật sự phải đứng, rồi sau đó giảm dần. Có khi một lớp 100 người mà chỉ còn khoảng 10 người đến
    Nếu Canvas không khôi phục nhanh thì thực tế cũng có thể hỗn loạn hơn nhiều chỉ vì lý do này
  • Tôi không hiểu Canvas thì truy cập hỗ trợ tốt hơn HTML và PDF ở chỗ nào
    Đúng là trình đọc PDF không phải thứ tối ưu nhất cho screen reader, nhưng chẳng phải chỉ cần đăng kèm một bản .html là được sao

• Việc bất kỳ công ty nào trả tiền chuộc ransomware nên là bất hợp pháp. Không có ngoại lệ, tuyệt đối không được trả
  Việc trừng phạt kẻ tấn công phải gắn với hệ thống mà chúng đã xâm phạm. Nếu tấn công bệnh viện khiến ai đó tử vong thì phải là tù chung thân hoặc án tử. Mức án tối thiểu phải đủ đau đớn để răn đe được kiểu tấn công này
  Tất nhiên chỉ vậy thôi thì không ngăn được hết, và doanh nghiệp cũng phải chịu trách nhiệm vì đầu tư bảo mật không đủ. Mọi vụ tấn công cần được điều tra xem công ty đó có đáp ứng các thực hành tốt tiêu chuẩn của ngành, tiêu chuẩn nhân sự và các yêu cầu tương tự đã được thống nhất hay chưa, và nếu không đáp ứng thì phải có hình phạt mang tính trừng phạt

  • Thứ nên là bất hợp pháp là vận hành dịch vụ không an toàn. Đặc biệt là khi xử lý dữ liệu cá nhân
    Các vụ xâm phạm vẫn xảy ra liên tục mà chẳng ai thực sự quan tâm. Tệ nhất thì họ chỉ mất vài khách hàng và mua cho người bị ảnh hưởng ít “dịch vụ giám sát tín dụng” là xong
    Sau các sự cố như thế này phải có kiểm toán và truy tố. Phải tống các lãnh đạo công ty vào tù vì các thất bại bảo mật do cẩu thả. Nếu có thể vào tù vì gian lận kế toán, thì cũng phải có thể vào tù vì gian dối về cam kết an ninh mạng
    Họ tuyên bố tuân thủ nhiều tiêu chuẩn bảo mật https://www.instructure.com/en-au/trust-center/compliance
    Tôi muốn xem trong cuộc kiểm toán hậu sự cố, họ thực sự đã triển khai được đến đâu
  • Có lẽ ngay từ đầu nên tập trung vào việc khiến chuyện chuyển tiền cho tội phạm ở nước ngoài trở nên khó khăn hơn. /hmm/ nền tảng tiền mã hóa cho phép chuyển tiền cho tác nhân xấu /hmm/
  • Khi nào các quốc gia mới bắt đầu coi tấn công mạng là hành vi chiến tranh nhỉ
    Nếu quân đội Triều Tiên vào Mỹ và cướp số vàng trị giá 200 triệu USD ở Fort Knox thì chắc chắn sẽ có trả đũa. Nhưng nếu lấy đúng số tiền đó bằng cách hack doanh nghiệp Mỹ thì chính phủ liên bang lại chẳng làm gì cả
  • Tôi không nghĩ “mức án tối thiểu đau đớn” có thể thực sự khiến người nước ngoài hay chính phủ nước ngoài chùn bước
  • Nếu ai đó đi cướp ngân hàng mà một người bên trong lên cơn đau tim rồi chết thì đó là felony murder
    Tôi muốn nguyên tắc tương tự cũng được áp dụng cho tấn công ransomware, tống tiền và rò rỉ dữ liệu. Nếu vì chuyện đó mà ai đó tự sát thì phải bị tính là giết người

• Con tôi đang ở đúng giữa tuần thi cuối kỳ. Mọi thứ là một mớ hỗn loạn
  Các trường đại học không biết gì cả, Canvas thì khẳng định đang trong “scheduled maintenance”, còn có giảng viên nói rằng “không có bản sao tài liệu ngoại tuyến”, nghe khá cẩu thả
  Một lớp của môn đông sinh viên có vẻ sẽ phải thi trên giấy, còn các lớp khác dường như đã làm bài kiểm tra trên Canvas từ sớm hôm nay với kiểu “lần thử thứ hai chỉ được nửa số điểm”
  Bao lâu nữa thì tên và điểm sẽ xuất hiện trong một bản dump dữ liệu nhỉ
  Chuyện này giống như ở Mỹ, TurboTax mà lên lịch “scheduled maintenance” vào ngày 14 tháng 4 vậy

  • “Scheduled Maintenance” là hoàn toàn nhảm nhí, và thành thật mà nói còn khiến Canvas trông tệ hơn
    Theo trang trạng thái thì như vậy vẫn được tính là 99.996% uptime. Cứ nhớ kỹ điều đó nhé

• Một người bạn dạy ở MIT nói là họ đã gặp chuyện này
  Thật mỉa mai và hơi buồn khi ngay cả nơi như MIT cũng không có nhân sự IT để duy trì một giải pháp on-prem cho mục đích này
  Nhưng rồi hóa ra MIT từng có một hệ thống tự phát triển và chỉ mới chuyển sang Canvas gần đây. Chắc giờ họ đang hối hận
  Có vẻ trong 10 năm qua, các quyết định tự xây vs mua đã nghiêng quá mạnh về phía mua, điều đó khá đáng tiếc
  Tất nhiên tổ chức nên tập trung vào năng lực cốt lõi, và đôi khi giao những việc không phải năng lực cốt lõi cho bên ngoài là đúng. Nhưng lúc nào cũng có mặt trái

  • Hệ thống tự phát triển thì tốn chi phí bảo trì, và ngay cả khi so với các lựa chọn thương mại ở thời điểm này thì thường cũng khó theo kịp
    Hệ thống quản lý học tập vốn dĩ là phần mềm cực kỳ phức tạp. Hồi đại học tôi từng tham gia vào phiên bản tự làm của trường mình
  • Tôi bắt đầu sự nghiệp công nghệ trong lĩnh vực giáo dục nên chuyện này chẳng làm tôi ngạc nhiên chút nào
    Những nhân sự IT giỏi giang, có tham vọng sẽ không ở lại ngành giáo dục lâu. Mức lương ở đây quá thấp so với trong ngành
    Chỗ tôi từng làm có chế độ hưu trí thoải mái sau một số năm công tác nhất định, nên nhân viên IT tìm cách thuê ngoài càng nhiều càng tốt để hoàn toàn không phải gánh rủi ro cho tiền dưỡng già của họ. Kiểu đổ hết lỗi cho tư vấn viên và làm ít nhất có thể
    Đúng nghĩa là nơi giấc mơ chết đi
    MIT nổi tiếng vì giảng viên và sinh viên xuất sắc, nhưng xét cho cùng thì vận hành đại học vẫn là công việc khá tiêu chuẩn. Đâu cần thiên tài rockstar để quản lý máy chủ nền tảng bài giảng

• Tôi là sinh viên Stanford, và sự cố lần này đang gây ảnh hưởng lớn trên toàn trường
  Không như các trường bờ Đông như Brown, Harvard hay MIT, chúng tôi học theo quý, nên đây đúng lúc vừa thi xong giữa kỳ
  May là khoa CS hoàn toàn độc lập với Canvas, nhưng phần lớn các lớp nhân văn của tôi thì không
  Có một lớp lịch sử nghệ thuật yêu cầu nộp bài giữa kỳ vào thư mục Google Drive, còn lớp khác thì đã dừng quiz hằng tuần
  Sự việc này cho thấy sinh viên và giáo viên đang phụ thuộc vào Canvas đến mức nào. Tôi hy vọng nó sẽ khơi lại thảo luận về việc rời bỏ nền tảng vốn đã không tốt từ góc nhìn sinh viên này

  • Việc ShinyHunters hạ mình đến mức động vào sinh viên và giới trí thức trẻ của Mỹ thật sự là vượt quá giới hạn
    Nhắm vào doanh nghiệp là một chuyện, còn động vào sinh viên là chuyện khác. Nên để sinh viên yên

• Cách phản ứng của Canvas là rất tệ. Không có truyền thông, không có cập nhật trạng thái
  Toàn bộ nền tảng có vẻ như đã bị xâm phạm, mà lại không có nổi một báo cáo thực sự nào về sự cố vi phạm bảo mật đã xảy ra, điều này trông cực kỳ không ổn
  Phần lớn trường học ở Mỹ hiện đang thi cuối kỳ, nên tôi tò mò không biết các vi phạm SLA và kiện tụng sẽ xuất hiện nhanh đến mức nào

  • Tôi đã làm việc với Canvas/Instructure khá nhiều. Công nghệ của họ tạm ổn
    Còn văn hóa thì có vẻ đầy sự tự mãn vì vị thế thị trường của họ

• Trước đây nhiều trường đại học từng vận hành hệ thống sinh viên do tự phát triển hoặc on-prem
  Đây chính là mặt trái của sự tập trung hóa đám mây. Khi hạ tầng bị xâm phạm thì không chỉ một hai bản cài đặt riêng lẻ bị ảnh hưởng mà là tất cả
  Tôi tò mò không biết giờ họ cảm thấy thế nào về quyết định đó. Dù sao thì còn có thể nói “không phải lỗi của chúng tôi”, nên biết đâu tâm lý lại đỡ hơn so với khi lỗ hổng nằm ở hệ thống tự vận hành

  • Khi phần mềm có lỗ hổng, hacker cũng có thể dùng cách tự động để tấn công hàng trăm bản cài đặt riêng của các tổ chức khác nhau dễ như nhau
    Tùy lỗ hổng mà thậm chí còn dễ hơn nếu quản trị viên on-prem không áp dụng đầy đủ các biện pháp bảo mật được khuyến nghị
    Thực ra điều tôi tò mò hơn là ở đây liệu Instructure có trách nhiệm tài chính hay không. Sự cố kỹ thuật ở phía Instructure, nhưng yêu cầu tiền chuộc lại đang nhắm vào các trường đại học, điều đó khá thú vị
    Tôi quen với SLA uptime rồi, nhưng SLA cho vi phạm bảo mật thì sẽ thế nào nhỉ
  • Nếu các trường đã bỏ thời gian và tiền bạc để tự xây hệ thống rồi bị hack thì đó sẽ là trách nhiệm của họ
    Giờ thì họ có thể giống như dealer blackjack, vỗ tay rồi xòe hai bàn tay ra và rời khỏi bàn mà không phải nhận trách nhiệm. Có lẽ đó là một trong những lợi ích lớn nhất của việc dùng sản phẩm thay vì tự làm
  • Cách này vẫn an toàn hơn. Đặc biệt là vì hack bằng AI đang khiến việc dựa vào sự mù mờ trở nên khó hơn
    Ngoài ra còn có giá trị ở chỗ có thêm một bên khác để đổ lỗi, và nếu tất cả cùng sập thì mình cũng sập cùng mọi người

• Hồi còn là học sinh trung học, khoảng năm 2016 hay 2017, tôi từng phát hiện một lỗi XSS rất đơn giản trong form nộp bài và báo cho giáo viên lập trình
  Sau đó Canvas khóa tài khoản của tôi, và tôi phải nhận hình phạt sau giờ học đầu tiên, cũng có thể là duy nhất, trong đời. Những ngày đẹp đẽ thật

  • Cùng kiểu như vậy, phần mềm chặn của trường chặn YouTube và embed, nhưng lại cho phép nếu nội dung đến từ Canvas
    Việc vô hiệu hóa trình soạn thảo HTML cho bình luận thảo luận là thông minh, nhưng họ quên mất rằng đó là trình soạn thảo rich text, nên chỉ cần nhét mã vào data:text/html rồi sao chép phần tử dưới dạng HTML có định dạng là có thể dán nguyên embed vào
    Tôi còn thử cả bộ mẫu XSS của DOMPurify, và tìm ra một cách khiến máy tính của ai đó tải xuống nội dung do người dùng tùy chỉnh
  • Có phải bạn đã thực sự khai thác lỗ hổng đó rồi mới báo cho giáo viên không

• Nếu có ai biết chuyện nội bộ, tôi muốn hỏi liệu Parchment có khả năng cũng bị ảnh hưởng hay không
  Instructure đã mua lại nó vài năm trước, và đây là nơi xử lý lượng bảng điểm khổng lồ
  Sửa: https://status.parchment.com/ ghi rằng “Canvas, Canvas Beta và Canvas test hiện không khả dụng, nhưng chúng tôi đang đồng thời giám sát mọi môi trường sản phẩm khác bao gồm cả Parchment. Hiện tại không có lý do gì để tin rằng tài nguyên của Parchment đã bị ảnh hưởng”