Члени Палати представників США вимагають, щоб представники компанії Instructure, розробника освітнього ПЗ, який двічі зазнав хакерських атак, дали свідчення щодо реакції компанії на кібератаки, що дозволили зловмисникам викрасти персональні дані мільйонів студентів у всьому світі.
Комітет Палати представників з питань національної безпеки розслідує злами та витік даних, оскільки він має юрисдикцію над діяльністю уряду, пов’язаною з безпекою батьківщини, написав голова комітету конгресмен Ендрю Ґарбаріно в листі до генерального директора Instructure Стівена Дейлі. До розслідування інциденту залучено й Агентство з кібербезпеки та безпеки інфраструктури США (CISA).
Комітет вимагає свідчень Дейлі, щоб з’ясувати, як хакерам вдалося неодноразово проникнути в системи Instructure, а також які типи даних були викрадені, йдеться в листі, в якому посилаються на публікації TechCrunch. Законодавці також хочуть знати, як компанія реагує на атаки та повідомляє про них постраждалі навчальні заклади, а також оцінити адекватність її взаємодії з CISA.
Instructure, яка розробляє популярний програмний комплекс Canvas для шкільних інформаційних порталів, зазнала критики за свою реакцію на атаки, особливо після того, як визнала, що хакери скористалися тією самою вразливістю, щоб викрасти масиви чутливих даних студентів, а також зіпсувати сторінки входу до облікових записів шкіл.
Цього тижня компанія підтвердила, що «досягла домовленості» з хакерами і заявила, що ті надали докази видалення викрадених даних. Представник угруповання ShinyHunters повідомив TechCrunch, що вони не продовжуватимуть шантаж компанії чи її клієнтів, але відмовився розкривати, яку суму компанія заплатила як викуп.
Експерти з безпеки давно попереджають, що виплати хакерам лише фінансують нові атаки. Відомі випадки, коли зловмисники зберігали викрадені дані, навіть стверджуючи, що видалили їх, розраховуючи повторно шантажувати жертв.
За словами Ґарбаріно, повторний злам тими самими хакерами «породжує серйозні питання щодо здатності компанії реагувати на інциденти та її обов’язків перед установами й особами, чиї дані вона зберігає».
«Масштаб і час зламу Instructure, а також продемонстрована неспроможність великого постачальника освітніх технологій стримати зловмисника після первинного вторгнення — саме такі системні вразливості цей Комітет має обов’язок вивчати», — написав Ґарбаріно в листі.
Instructure поки що не повідомила, чи відповість на лист і чи дасть свідчення Дейлі — або інша відповідальна за кібербезпеку в компанії особа.
Прессекретар Instructure Браян Воткінс у середу не відповів на запит TechCrunch про коментар.