Vụ tấn công xảy ra đúng thời điểm một vài nhà cung cấp công nghệ giáo dục (edtech) lớn đang nắm giữ một lượng dữ liệu khổng lồ, đồng thời trùng với làn sóng phản đối từ các phụ huynh muốn hạn chế việc sử dụng máy tính trong lớp học.
Tính đến thứ Năm tuần trước, gần 9.000 trường học và 275 triệu người đã bị ảnh hưởng.
Dữ liệu định danh cá nhân của học sinh, giáo viên, giảng viên và nhân viên nhà trường đều đã bị rò rỉ.
Theo bản sao lá thư tống tiền mà tờ The Washington Post thu thập được, nhóm tin tặc khét tiếng ShinyHunters tuyên bố chính họ là thủ phạm đứng sau vụ xâm nhập này.
Hiện vẫn chưa rõ chính xác ShinyHunters đã lấy đi những dữ liệu gì, nhưng phương thức hoạt động của nhóm này thường là đánh cắp thông tin rồi đe dọa tung lên mạng trừ khi nạn nhân trả tiền chuộc.
Instructure tiết lộ nhóm tội phạm ban đầu đã xâm nhập vào hệ thống bằng cách "khai thác một vấn đề liên quan đến loại tài khoản Miễn phí cho Giáo viên (Free-For-Teacher)".
Robert Johnston, Giám đốc Đổi mới tại công ty an ninh mạng N-able, nhận định rằng việc tin tặc sử dụng các tài khoản dùng thử làm "bàn đạp" để tiến sâu hơn vào hệ thống cốt lõi là một thủ đoạn rất phổ biến.
Vụ tấn công đã khiến nền tảng Canvas bị tê liệt ngay giữa mùa thi cử cao điểm.
Do Canvas là công cụ thiết yếu để quản lý điểm số, bài tập và học liệu, sự cố này đã buộc nhiều trường học phải yêu cầu giảng viên linh hoạt hơn về thời hạn nộp bài và lịch thi học kỳ.
Những "con săn sắt" và những "con cá mập"
Theo Ransomware.live, ShinyHunters là một nhóm tống tiền và đánh cắp dữ liệu hoạt động vì mục đích tài chính.
Danh sách nạn nhân của chúng bao gồm hàng loạt tên tuổi lẫy lừng như Ticketmaster, Zara, Cisco Systems, Ikea, Panera Bread, Adidas và McDonald’s, cùng với nhiều trường học đơn lẻ khác.
Đây không phải là vụ rò rỉ đầu tiên liên quan đến một nền tảng edtech lớn.
Vào tháng 12/2024, nền tảng thông tin giáo dục K-12 PowerSchool cũng từng bị tin tặc tấn công.
Công ty này sau đó đã quyết định trả tiền chuộc với hy vọng ngăn chặn dữ liệu bị phát tán công khai.
Ủy ban Thương mại Liên bang (FTC) cũng từng cáo buộc một công ty khác là Illuminate Education đã không bảo vệ dữ liệu đúng cách, dẫn đến một vụ rò rỉ nghiêm trọng.
Vào tháng 12 vừa qua, Ủy ban này đã yêu cầu công ty phải thắt chặt các biện pháp an ninh.
Nhiều trường đại học danh tiếng, bao gồm Đại học Columbia và Đại học Princeton, cũng đã ghi nhận các vụ xâm nhập trong năm qua, thậm chí một số nơi còn bị rò rỉ cả dữ liệu tuyển sinh.
Doug Thompson, kiến trúc sư trưởng giáo dục tại công ty an ninh mạng Tanium, nhận định trường học từ lâu đã là mục tiêu béo bở vì họ nắm giữ kho dữ liệu quá lớn.
Tuy nhiên, rủi ro chính hiện nay không còn nằm ở từng cơ sở riêng lẻ mà nằm ở một số ít các nền tảng tập trung như Canvas, nơi hàng nghìn trường học đang phụ thuộc vào.
Ông Thompson so sánh: "Nếu tôi là một tên cướp ngân hàng, tại sao tôi phải đi cướp từng cái trong số 1.000 ngân hàng nếu tôi có thể đột nhập thẳng vào kho bạc nhà nước?".
Ông cũng đưa ra cảnh báo cho sinh viên và nhân viên nhà trường:
"Hãy mặc định rằng tên và email của bạn hiện đã nằm trong tay tội phạm. Hãy chuẩn bị tinh thần cho những đợt tấn công lừa đảo (phishing) tinh vi, mạo danh các lớp học hoặc giảng viên có thật".
Hệ thống "phô mai Thụy Sĩ" và nỗi lo đánh cắp danh tính
Anton Dahbura, Giám đốc điều hành Viện An ninh Thông tin thuộc Đại học Johns Hopkins, cho biết các cuộc tấn công lừa đảo đang ngày càng trở nên tinh vi và thuyết phục hơn nhờ sự hỗ trợ của AI.
Thậm chí, các mô hình ngôn ngữ lớn thế hệ mới còn cực kỳ giỏi trong việc dò tìm các lỗ hổng mạng.
"Những hệ thống mà chúng ta đang tin dùng thực sự giống như những miếng phô mai Thụy Sĩ với đầy rẫy lỗ hổng trước các cuộc tấn công mạng", ông nói.
Học sinh là đối tượng chịu thiệt thòi nhất.
Ngay từ khi bước chân vào tiểu học, các em đã bị nhà trường bắt buộc phải sử dụng các nền tảng như Canvas để hoàn thành bài tập.
Đến tối thứ Năm, công ty thông báo Canvas đã khả dụng cho hầu hết người dùng và cung cấp thêm thông tin chi tiết vào thứ Sáu.
Tuy nhiên, một số trường học vẫn cảnh báo người dùng nên tránh xa nền tảng này để đảm bảo an toàn.
Tại Đại học Maryland, các quan chức thông báo vào thứ Sáu rằng dù Canvas có vẻ đã hoạt động trở lại, họ vẫn khuyến cáo mọi người chưa nên sử dụng trong khi nhà trường đánh giá độ an toàn.
Vụ tấn công cũng ảnh hưởng đến hàng loạt trường công lập từ cấp tiểu học đến trung học tại các bang North Carolina, Florida, Virginia, Maryland, California, Nevada, Georgia và Oklahoma.
Đến chiều thứ Sáu, khả năng truy cập của học sinh và giáo viên vẫn còn rất bấp bênh.
"Luật chơi" tự phát và sự phản kháng của phụ huynh
Mặc dù có luật liên bang quản lý quyền riêng tư của thông tin học sinh, nhưng Joel Schwarz, thành viên sáng lập Dự án Quyền riêng tư Dữ liệu Học sinh cho rằng các học khu thường không hiểu rõ trách nhiệm của mình
Trong khi đó, Bộ Giáo dục thì ít khi thực thi luật một cách nghiêm ngặt.
"Về cơ bản, đó là một cuộc chơi tự phát", ông Schwarz nói. "Dữ liệu bị mất trong một vụ rò rỉ ư? Họ coi đó chỉ là cái giá của việc kinh doanh. Và đó cũng chẳng phải cái giá quá đắt vì chẳng ai thực sự bị kỷ luật cả".
Vụ tấn công xảy ra trong bối cảnh các trường học đang bị soi xét kỹ lưỡng về cách sử dụng công nghệ.
Hiện nay, hầu hết học sinh đều được trang bị laptop hoặc máy tính bảng để làm bài và liên lạc với giáo viên.
Thế nhưng, tại ít nhất 12 bang, các nhà lập pháp và lãnh đạo trường học đang cố gắng cắt giảm sự lệ thuộc vào công nghệ để đáp lại sự phản đối của các bậc phụ huynh.
"Vụ rò rỉ dữ liệu này là một ví dụ điển hình cho thấy tại sao các trường học cần phải xem xét lại việc lạm dụng công nghệ của mình", Kate Brody, Giám đốc chính sách tại Schools Beyond Screens khẳng định.
Hội đồng nhà trường địa phương gần đây đã thông qua nghị quyết yêu cầu các lớp học hạn chế sử dụng thiết bị điện tử.
"Mỗi một tài khoản công nghệ mới được tạo ra chính là một cơ hội mới cho sự xâm nhập và lạm dụng".
Nguồn: The Washington Post
.png "Giá dầu tiếp tục tăng vọt, hy vọng về thoả thuận Mỹ - Iran dần tan biến")
