Instructure, đơn vị vận hành Canvas, trả tiền chuộc cho tin tặc

 (insidehighered.com)
1 điểm bởi GN⁺ 6 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Instructure đã trả tiền chuộc (ransom) cho ShinyHunters, nhóm đã xâm nhập hệ thống quản lý học tập Canvas hai lần, và đạt được thỏa thuận khôi phục
  • Công ty cho biết theo thỏa thuận, các tin tặc đã trả lại dữ liệu bị xâm phạm liên quan tới khoảng 275 triệu người dùng tại hơn 8.800 tổ chức
  • Instructure nói đã nhận được shred logs để xác nhận dữ liệu bị hủy và được bảo đảm rằng khách hàng sẽ không bị tống tiền thêm
  • ShinyHunters từng cảnh báo sẽ làm rò rỉ tên, email, mã số sinh viên và tin nhắn riêng tư, còn sự cố Canvas khiến nhiều trường đại học phải lùi kỳ thi và hạn nộp bài
  • Cliff Steinhauer của National Cybersecurity Alliance nhận định việc trả tiền chuộc có thể thưởng cho kẻ tấn công và làm tăng rủi ro phơi lộ lâu dài

Instructure trả tiền chuộc và khôi phục Canvas

  • Instructure đã trả ransom cho một tổ chức tội phạm mạng đã tấn công hệ thống quản lý học tập Canvas của công ty hai lần trong khoảng một tuần rưỡi qua
  • Theo bản cập nhật vào tối thứ Hai của Instructure, thỏa thuận này khiến các tin tặc trả lại dữ liệu bị xâm phạm liên quan tới khoảng 275 triệu người dùng tại hơn 8.800 tổ chức
  • Instructure cho biết đã nhận được shred logs, tức xác nhận số hóa về việc hủy dữ liệu, đồng thời cũng có được cam kết rằng “khách hàng của Instructure sẽ không bị tống tiền, công khai hay theo bất kỳ cách nào khác” do sự cố lần này
  • Thỏa thuận lần này bao trùm “mọi khách hàng của Instructure bị ảnh hưởng”, và các khách hàng riêng lẻ được thông báo là “không cần” liên hệ với nhóm tống tiền ShinyHunters, vốn đã xâm nhập Canvas hai lần và tạm thời làm hệ thống ngừng hoạt động
  • Instructure cho rằng dù không thể có sự chắc chắn tuyệt đối khi đối phó với tội phạm mạng, điều quan trọng là phải thực hiện mọi biện pháp trong tầm kiểm soát để mang lại thêm sự an tâm cho khách hàng trong phạm vi có thể
  • Instructure cho biết vẫn đang tiếp tục hợp tác với các công ty chuyên môn để hỗ trợ phân tích pháp chứng, tăng cường bảo vệ môi trường hệ thống và rà soát toàn bộ dữ liệu liên quan, đồng thời sẽ cập nhật thêm khi công việc tiến triển

Yêu sách của ShinyHunters và gián đoạn dịch vụ Canvas

  • Instructure không công bố số tiền dàn xếp, nhưng thỏa thuận được thực hiện chỉ một ngày trước hạn chót đòi tiền chuộc ngày 12 tháng 5 do ShinyHunters đưa ra
  • ShinyHunters cũng có liên quan tới các vụ vi phạm dữ liệu gần đây tại University of Pennsylvania, Princeton University và Harvard University
  • Cuộc xâm nhập Canvas của ShinyHunters đã gây ra gián đoạn dịch vụ nghiêm trọng, và nhóm này cảnh báo Instructure phải trả tiền nếu không muốn dữ liệu người dùng gồm tên, địa chỉ email và mã số sinh viên bị rò rỉ
  • Trong lá thư đòi tiền chuộc đăng trên Ransomware.live ngày 3 tháng 5, ShinyHunters tuyên bố đang nắm giữ “hàng tỷ tin nhắn riêng tư giữa sinh viên và giáo viên, cũng như giữa sinh viên với sinh viên”, các cuộc trò chuyện cá nhân và những thông tin nhận dạng cá nhân khác
  • Nhóm tin tặc yêu cầu Instructure liên hệ trước ngày 6 tháng 5 năm 2026, nếu không sẽ làm rò rỉ dữ liệu và gây ra “những rắc rối kỹ thuật số khó chịu”
  • Instructure dường như đã không đáp ứng yêu cầu này, nhưng đã xử lý sự cố bảo mật và Canvas hoạt động trở lại hoàn toàn vào thứ Ba, ngày 5 tháng 5
  • Tuy nhiên, đến thứ Năm, người dùng Canvas một lần nữa không thể truy cập tài khoản, và nhiều người đang chuẩn bị cho kỳ thi cuối kỳ cùng bài tập cuối học kỳ chỉ nhìn thấy thông điệp của tin tặc
  • Thông điệp của tin tặc nói rằng “ShinyHunters đã xâm nhập Instructure lần nữa”, đồng thời cáo buộc Instructure chỉ vá lỗ hổng bảo mật chứ không liên hệ với họ
  • Thông điệp cũng yêu cầu các trường bị ảnh hưởng, nếu muốn ngăn dữ liệu bị công khai, hãy trao đổi với công ty tư vấn an ninh mạng và liên hệ riêng qua TOX để thương lượng thỏa thuận; nhóm này đặt hạn chót ngày 12 tháng 5 cho các tổ chức và Instructure
  • Trong lá thư đòi tiền chuộc đăng trên RansomLook, ShinyHunters tuyên bố Instructure đã không hiểu tình hình cũng như không tham gia đàm phán để ngăn dữ liệu bị công khai, và số tiền họ yêu cầu cũng không cao như người ta nghĩ

Phản ứng của các trường đại học và thay đổi trong truyền thông của Instructure

  • Khi sự cố Canvas kéo dài, nhiều trường đại học đã hoãn kỳ thi và hạn nộp đồ án cuối kỳ để chờ vấn đề được khắc phục
  • CEO của Instructure, Steve Daly, trong bản cập nhật trên website công ty sau vụ xâm nhập thứ hai, thừa nhận rằng tuần trước công ty đã cố xác minh chính xác sự việc trước khi phát biểu công khai nhưng đã cân bằng không tốt
  • Daly nói: “Chúng tôi đã tập trung vào việc xác minh sự thật, và đã im lặng trong lúc các bạn cần được cập nhật liên tục”, đồng thời cho biết sẽ thay đổi điều này trong tương lai
  • Sau đó, Instructure dường như cũng đã bắt đầu liên lạc với các tin tặc; vào chiều thứ Hai, công ty thông báo trên website rằng “mọi môi trường Canvas đều khả dụng”

Rủi ro của việc trả tiền chuộc

  • Cliff Steinhauer, giám đốc phụ trách an ninh thông tin và tương tác của National Cybersecurity Alliance, nhận định rằng việc trả tiền chuộc có thể đã giải quyết vấn đề trước mắt của Instructure, nhưng đi ngược lại các nguyên tắc ứng phó an ninh mạng thông thường
  • Steinhauer cho rằng việc trả tiền chuộc có thể tạo ra “một vòng phản hồi nguy hiểm, trong đó kẻ tấn công thực chất được tưởng thưởng cho một vụ xâm nhập thành công”
  • Ngay cả khi tổ chức tin rằng mình đã “giải quyết” được khủng hoảng tức thời, điều đó vẫn có thể củng cố động lực kinh tế của tống tiền mạng và gửi tín hiệu tới các tác nhân đe dọa rằng việc nhắm vào các nền tảng giáo dục lớn hoặc dịch vụ trọng yếu là có lợi nhuận
  • Ông cho rằng, đúng như các cơ quan thực thi pháp luật luôn cảnh báo, việc trả tiền chuộc thúc đẩy thêm các cuộc tấn công trong toàn ngành và có nguy cơ bình thường hóa chuyện thanh toán như một chiến lược ứng phó sự cố khả thi
  • Steinhauer cũng nhận định thỏa thuận giữa Instructure và ShinyHunters còn để lại vấn đề về niềm tin và sự chắc chắn
  • Ngay cả khi tội phạm tuyên bố đã xóa dữ liệu bị đánh cắp hoặc cung cấp “bằng chứng” về việc hủy dữ liệu, không có cách nào để xác minh đáng tin cậy điều đó; trước đây thường đã có những trường hợp dữ liệu bị giữ lại, bán lại hoặc tiếp tục được dùng cho các vụ tống tiền trong tương lai
  • Xét từ góc độ rủi ro, tổ chức có thể đang đánh đổi gián đoạn dịch vụ ngắn hạn trước mắt lấy một vấn đề phơi lộ dài hạn, và vấn đề đó có thể quay trở lại sau vài tháng hoặc vài năm mà không còn thêm đòn bẩy nào để ngăn chặn

Bài viết liên quan

1 bình luận

 
GN⁺ 6 giờ trước
Ý kiến trên Hacker News
  • Vài năm trước, có một quan chức Bộ Tư pháp từng tham dự một hội nghị có buổi tọa đàm về chủ đề trả tiền chuộc này
    Ông ấy giải thích điều đó tương tự như tiền chuộc trong các vụ bắt cóc. Khi người Mỹ bị bắt làm con tin, từng gia đình đều muốn trả tiền, nhưng kết quả là hình thành cả một ngành công nghiệp bắt cóc người Mỹ. Quốc hội đã ngăn điều này bằng cách quy định việc trả tiền cho kẻ bắt cóc là bất hợp pháp, và khi không còn lợi nhuận, việc bắt cóc người Mỹ giảm xuống, thay vào đó người châu Âu trở thành mục tiêu, đó là cách ông ấy giải thích
    Đề xuất của ông ấy là nên bắt đầu cảnh báo các tư vấn an ninh mạng và công ty bảo hiểm thường tham gia vào những tình huống như thế này rằng việc thanh toán cho các quốc gia bị trừng phạt rất có thể đã là bất hợp pháp và có thể trở thành đối tượng điều tra. Những người bị bắt đầu tiên sẽ chịu thiệt hại lớn, nhưng cuối cùng ngành này sẽ đổi hướng và nhắm vào các công ty Mỹ ít hơn
    • Hướng đi này là đúng. Thay vì tạo ra cả một ngành tội phạm ransomware mới bằng cách trả tiền chuộc, tốt hơn là buộc doanh nghiệp phải khôi phục từ bản sao lưu và loại bỏ động cơ tài chính của tội phạm
      Các lãnh đạo không thực hiện sao lưu định kỳ một cách nghiêm túc đương nhiên phải chịu trách nhiệm
    • Ai mà nghĩ rằng đưa hàng triệu đô la bằng tiền mã hóa cho đám thiếu niên lại là ý hay chứ
      Số tiền đó chỉ được dùng cho nhiều cuộc tấn công khai thác lỗ hổng hơn và nhiều trò nhảm nhí hơn, đúng là một cuộc đua xuống đáy không hồi kết. Ngay cả Lapsus$, nhóm cấp trên của ShinyHunters, cũng từng đăng trên website của họ rằng họ muốn mua quyền truy cập nội bộ vào mạng công ty. Họ nói không cần dữ liệu, chỉ cần đường vào
      Cứ tiếp tục đưa hàng triệu đô cho tội phạm bằng tiền mã hóa khó truy vết thì sẽ thành ra thế này
    • Tôi không hiểu vì sao những khoản trả tiền chuộc như thế này lại không vi phạm luật chống rửa tiền. Có vẻ như họ chẳng thể nào đã xác minh rằng bên nhận không nằm trong diện bị trừng phạt hoặc không liên quan tới tổ chức bị trừng phạt
    • Ở Mỹ, việc trả tiền cho kẻ bắt cóc thật sự là bất hợp pháp à? Tôi không tìm được tài liệu nào cho thấy luật đó thực sự đã được thông qua
  • Có nhiều ý hay về lý thuyết trò chơi và động cơ kinh tế, nhưng có một điểm còn quan trọng hơn và mang tính tự vệ: trả tiền chuộc sẽ khiến hacker lao vào nhiều gấp 10 lần
    Việc trả tiền chuộc gửi đi ba tín hiệu: dễ bị tấn công, không thể phục hồi sau tấn công và có tiền mặt. Kết quả là sẽ bị tấn công nhiều hơn rất nhiều. Bạn có thể hỏi tôi biết điều đó bằng cách nào, nhưng tôi sẽ không trả lời
  • Một mặt, mỗi lần trả tiền chuộc đều khuyến khích những người tương tự bắt đầu hoặc mở rộng mô hình kinh doanh ransomware, nên điều đó là không tốt
    Mặt khác, các băng nhóm ransomware muốn tiếp tục làm ăn thì phải “giữ chữ tín” ở chỗ không công khai hay xóa dữ liệu. Thật buồn cười một cách kỳ lạ khi chúng phải như vậy để tiếp tục được xem là nhà vận hành ransomware đáng tin. Trong nhiều trường hợp, nạn nhân thích tiền được trả cho bên vận hành ransomware hơn là dữ liệu bị rò rỉ. Vì thế, với nạn nhân hiện tại thì trả tiền có thể là lựa chọn tốt nhất, nhưng lại làm tăng khả năng có thêm nạn nhân trong tương lai
    Động lực và kinh tế học của ransomware thật thú vị
    • Đây luôn là lý thuyết trò chơi của tiền chuộc, và là một vấn đề hành động tập thể điển hình dưới dạng tình thế tiến thoái lưỡng nan của tù nhân
      Mỗi công ty riêng lẻ nhiều khả năng sẽ có lợi hơn nếu trả tiền chuộc, nhưng nếu tất cả đều không trả thì toàn bộ hệ thống sẽ tốt hơn
      Vì thế ở những nơi như Mỹ có chính sách chính thức không trả tiền chuộc, và cũng tồn tại các chính sách không trả tiền chuộc khác. Nếu không có cơ chế buộc từng nạn nhân riêng lẻ không được trả tiền thì sẽ luôn có động cơ nghiêng về phía trả tiền, và tiền chuộc sẽ tiếp tục có lãi
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Tôi không chắc danh tiếng của kẻ tấn công có ý nghĩa lớn đến vậy. Chúng có thể đổi thương hiệu sang tên mới bất cứ lúc nào. Dù sao cũng là tội phạm mạng ẩn danh, và ngoài việc tẩy trắng danh tiếng thì còn nhiều lý do khác để làm thế
      Dù cùng một nhóm người dùng tên “mới” hay tên cũ, từ góc nhìn của nạn nhân, phép tính trong tình huống hệ thống bị bắt làm con tin có vẻ cũng không thay đổi nhiều
    • Việc trả tiền chuộc nên luôn là bất hợp pháp, và nhân viên phê duyệt khoản thanh toán đó phải bị truy tố hình sự liên bang. Dù kết quả là công ty phá sản hay có người chết thì tôi vẫn cho là cái giá đó có thể chấp nhận được
    • Nếu giả định ransomware sẽ tiếp tục tồn tại và mọi dữ liệu đều có thể bị bắt làm con tin bất cứ lúc nào, thì thế giới sẽ được thiết kế để thích nghi với điều đó
      Rốt cuộc có lẽ sẽ xuất hiện kiểu “nghiệp đoàn ransomware” theo phong cách Discworld, thu “phí bảo hiểm” rồi xử lý những kẻ bắt dữ liệu làm con tin mà không được phép, hoặc sẽ có các hệ thống dựa trên mã hóa đầu cuối khiến dữ liệu trở nên vô giá trị
    • Thỉnh thoảng tôi nghĩ về ý tưởng “kẻ khủng bố nhân từ”[0]. Ý là một thực thể gây hại lớn cho một số người để hướng tới một thế giới tốt đẹp hơn. Kwisatz Haderach trong Dune là nguyên mẫu điển hình nên chắc không hoàn toàn độc đáo, nhưng ý tưởng vận hành một công ty ransomware mà sau khi nhận tiền chuộc thì tuyệt đối không bao giờ giữ lời cũng khá thú vị
      Điều đó sẽ phá hủy đời nhiều người, nhưng nếu giả làm chúng thật tốt và càng nhận tiền rồi không khôi phục, thì cuối cùng có thể khiến ransomware không còn là một mô hình kinh doanh được nữa. Có gì có thể sai chứ? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Rốt cuộc chuyện này có vẻ giống kiểu “chúng tôi đã trả tiền chuộc nhưng đừng lo vì bọn xấu đã đảm bảo là mọi thứ ổn” được gói bọc PR cực mạnh
    • Họ nói đã “nhận được xác nhận số về việc hủy dữ liệu (shred logs)”, vậy là muốn người dùng tin rằng hacker không giữ lại dù chỉ một bản dữ liệu nào sao?
    • Tôi cứ nghĩ trả tiền cho hacker là bất hợp pháp, nhưng có vẻ là hợp pháp hoặc ít nhất là chưa rõ ràng. Ít nhất tôi từng biết có điều kiện là công ty phải phối hợp với cơ quan thực thi pháp luật để xác minh rằng tiền chuộc không chảy đến nhóm hacker nằm trong danh sách trừng phạt của chính phủ
      Tôi cũng tò mò về nguyên nhân gốc của vụ tấn công. Tôi có thấy tin đồn trên mạng rằng có thể liên quan tới lỗ hổng trên Salesforce Experience Cloud site, vốn là mẫu mà ShinyHunters hay dùng, nhưng chưa được xác nhận. Điều được xác nhận chắc chắn là lỗ hổng có liên quan tới tính năng “Free-For-Teacher accounts” của Canvas
    • Nếu bọn tội phạm đã nhận tiền rồi lại công khai thông tin, chúng sẽ không chỉ làm giảm khả năng chính mình nhận được tiền trong tương lai mà còn làm giảm khả năng các băng nhóm khác nhận được tiền
      Vì thế ngay cả những tội phạm khác cũng có động cơ ngăn việc rò rỉ thông tin sau khi đã nhận tiền

  • We received digital confirmation of data destruction (shred logs).
    Câu này ngây thơ đến mức đáng kinh ngạc

    • Hacker có động cơ hủy dữ liệu đúng như đã hứa. Nếu việc trả tiền chuộc mà dữ liệu vẫn bị lộ trở thành xu hướng cố định thì về sau sẽ chẳng còn ai trả tiền chuộc nữa
      Tất nhiên, điều đó không ngăn được việc hacker bí mật bán dữ liệu rồi nói rằng “không phải chúng tôi, mà là ai đó khác lấy được cùng dữ liệu đó từ một vụ hack khác”
    • Không phải ngây thơ, mà có vẻ họ đang đặt cược vào việc khách hàng mới là người ngây thơ
    • Làm sao đảm bảo được rằng chúng không sao chép dữ liệu rồi chỉ nghiền hủy một bản sao, hoặc thậm chí đơn giản là giả mạo shred logs
    • Tôi chỉ hy vọng đó là câu chữ PR để giữ thể diện. Dù vậy, tôi vẫn mong các công ty ngừng đưa ra những tuyên bố như thế này
  • Một dự án công nghệ thông tin công ích tốt có lẽ là duy trì danh sách công khai các tổ chức đã khuất phục trước yêu cầu tiền chuộc, để chúng ta có thể chọn nơi khác
    Dù vậy, đây cũng là việc đòi hỏi sự can đảm trước khả năng phải chịu trách nhiệm vì phỉ báng. Có vẻ như các tuyên bố miễn trừ trách nhiệm cũng không giúp né được nhiều rủi ro đó
    • Vậy ý bạn là sẽ chuyển hoạt động kinh doanh sang một nơi bị hack nhưng không trả tiền chuộc nên dữ liệu khách hàng đã bị rò rỉ sao?

  • The data was returned to us.
    Theo cách tôi hiểu thì dữ liệu đã bị sao chép[1]. Trừ khi bản gốc bị mã hóa hoặc xóa, nếu không tôi sẽ không gọi đó là “được trả lại”. Cách diễn đạt này hơi gây nhầm lẫn, nhưng có thể là cách nói phổ biến trong ngành
    Đây là tin tốt cho Monero[2]. Đợt tăng giá hồi tháng 1 cũng có thể là vì hack[3]
    Trên website của ShinyHunters, Canvas từng xuất hiện[4] rồi bị gỡ xuống[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Có vẻ hacker có động cơ không làm rò rỉ dữ liệu nếu muốn nhận được khoản tiền chuộc tiếp theo
    • Đây là thời điểm tốt để nhắc rằng trong các vụ rò rỉ dữ liệu, dữ liệu hiếm khi thực sự bị “đánh cắp”. Mối đe dọa và thiệt hại thực sự xuất hiện khi dữ liệu bị lấy đi được sử dụng theo cách bất lợi cho bạn
    • Ngay dòng sau câu được trích là thế này:

      We received digital confirmation of data destruction (shred logs).
      Nếu họ không xóa thì cũng chẳng có gì đáng ngạc nhiên, nhưng có lẽ đó là lý do họ gọi là “được trả lại”. Theo niềm tin của họ, dữ liệu đã được “trả lại” rồi sau đó bị xóa

  • Về dài hạn, tôi tự hỏi liệu sẽ tốt hơn nếu những công ty như thế này bị hack rồi trả tiền chuộc kiểu hối lộ và cuối cùng sụp đổ theo cách nào đó hay không
    Tôi cho rằng cái giá phải trả cho việc bị hack hiện nay là quá thấp. Đặc biệt với quản lý cấp cao hay tầng lớp lãnh đạo, nó chỉ bị xem như một việc trừu tượng có tốn thêm thời gian và tài nguyên mà thôi
    • Tôi chưa từng thấy công ty nào thừa nhận rằng vi phạm dữ liệu là điểm khởi đầu dẫn đến phá sản
      Sau vụ rò rỉ, khách hàng cũng không rời đi hàng loạt. 7.000 cơ sở giáo dục thiếu ngân sách và quá tải cũng sẽ không cùng lúc chuyển sang nơi khác
      Vì vậy có thể yên tâm cho rằng ngay cả khi xảy ra vi phạm dữ liệu thì cũng không có tác động lâu dài lên công ty. Vài tháng sau là mọi người quên hết
  • Nó biến mất khỏi trang của ShinyHunters và việc khôi phục cũng quá nhanh nên tôi đã đoán là như vậy. Điều tôi tò mò nhất là họ đã trả bao nhiêu
    Tôi cũng không thích cách họ nói rằng dữ liệu an toàn hoặc đã bị hủy. Trong những vụ như thế này, những lời hứa như vậy nghe khá đáng nghi
  • Chuyện này được hạch toán kế toán kiểu gì nhỉ? Họ đặt tên khoản mục chi phí là gì? Một công ty có thể gửi một khoản tiền lớn tới một tài khoản tiền mã hóa không rõ ràng mà không cần giải thích gì với cơ quan thuế sao?
    • Tôi nghĩ tiền chuộc là do công ty bảo hiểm chi trả, và họ sẽ gắn khoản thanh toán đó với điều khoản bảo hiểm đang có hiệu lực. Tôi không rõ tác động về thuế, cũng không phải dân tài chính hay kế toán
    • Chắc là ghi là “khôi phục dữ liệu” chăng?