ABD Temsilciler Meclisi, eğitim yazılımı üreticisi Instructure’dan, dünya genelinde milyonlarca öğrencinin kişisel verilerini çalan siber saldırılara karşı şirketin tepkisini sorgulamak üzere bir temsilci davet ediyor.
Meclis İç Güvenlik Komitesi, hükümetin iç güvenlik faaliyetleri üzerindeki yetkisi gereği, siber saldırıları ve veri sızıntısını araştırıyor. Komite başkanı, Temsilci Andrew Garbarino, Instructure CEO’su Steve Daly’ye yazdığı bir mektupta, siber güvenlik ajansı CISA’nın olaya müdahale etmek üzere çağrıldığını belirtti.
Garbarino, mektupta Daly’nin ifadesini almak istediklerini, çünkü aynı siber saldırganların Instructure sistemlerine tekrar nasıl girdiğini ve ele geçirilen veri türlerini açıklamasını talep ettiklerini ifade etti. Mektup ayrıca, yasama organlarının şirketin saldırılara nasıl tepki verdiğini ve etkilenen okulları nasıl bilgilendirdiğini öğrenmek istediğini belirtiyor. CISA ile koordinasyonlarının yeterliliği de incelenecek.
Geniş bir kullanıcı kitlesine sahip Canvas okul bilgi portalı yazılımını üreten Instructure, saldırılara karşı verdiği tepki nedeniyle eleştirildi. Saldırganların, aynı güvenlik açığını kullanarak hassas öğrenci verilerini çalmasının ardından okul giriş sayfalarını tahrif etmesi öz eleştiri konusu oldu.
Şirket, bu hafta, saldırganlarla bir “anlaşma sağladığını” ve saldırganların çalınan verileri sildiklerini kanıtladığını iddia etti. ShinyHunters grubundan bir temsilci, TechCrunch’a, şirketten veya müşterilerinden daha fazla fidye talep etmeyeceklerini söyledi; ancak ne kadar ödendiğini açıklamadı.
Siber güvenlik uzmanları, hackerlara fidye ödemenin gelecekteki saldırıları finanse ettiğini uzun zamandır savunuyor. Saldırganların, sildiklerini iddia ettikleri çalınan verileri saklamaya devam ettikleri biliniyor.
Garbarino, aynı saldırganların gerçekleştirdiği ikinci saldırının, şirketin olay anındaki yanıt yetenekleri ve veri sakladığı kurumlar ve bireyler üzerindeki yükümlülüklerine dair “ciddi sorular” ortaya çıkardığını belirtti.
Garbarino, “Instructure saldırısının ölçeği ve zamanlaması ile büyük bir eğitim teknolojisi tedarikçisinin ilk ihlaldan sonra bir tehdit aktörünü kontrol etme konusundaki gösterilen yetersizliği, Komite’nin incelemesi gereken sistemik zayıflıklardır,” şeklinde yazdı.
Instructure henüz mektuba yanıt verip vermeyeceğini veya Daly’nin ya da şirketin siber güvenlikten sorumlu kişinin ifade verip vermeyeceğini belirtmedi.
Instructure sözcüsü Brian Watkins, Çarşamba günü TechCrunch’ın yorum talebine cevap vermedi.
Makalelerimizdeki bağlantılardan alışveriş yapmanız durumunda küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.
