30 juta pengguna. Kira-kira itulah basis aktif untuk Canvas. Instruktur menjalankannya. Ribuan sekolah di AS menggunakannya untuk menilai, mengajar, dan mengelola kekacauan. Kemudian peretas menutupnya akhir pekan lalu.
Targetnya spesifik. Akun “gratis untuk guru” Instruktur dibobol. Itu adalah portal yang memberikan akses langsung kepada para pendidik. Kelompok ShinyHunters mendapat pujian. Mereka mengklaim 275 juta catatan dicuri. Sekitar 9.000 institusi terlibat. Security Week melaporkan angkanya.
Pada Rabu pagi, Instruktur mengumumkan kesepakatan. Peretas akan mengembalikan datanya. Atau setidaknya menghapusnya secara digital. Perusahaan mengatakan telah menerima konfirmasi. Juga, jaminan bahwa pelanggan tidak akan menghadapi pungutan liar. Mereka tidak menyebutkan membayar uang tebusan. Mereka baru saja menjadwalkan webinar untuk membahas “kepemimpinan”.
Ini bukanlah wilayah baru. Instruktur mengakui ini adalah pelanggaran kedua tahun ini. email. Nama pengguna. Nama kursus. Semua terekspos. Tepat ketika perguruan tinggi tenggelam di final.
Canvas kembali online pada hari Sabtu. Enam universitas dan puluhan distrik sekolah mengeluarkan peringatan. CNN mencatat ShinyHunters menetapkan batas waktu negosiasi pada hari Selasa. Kedengarannya familiar.
Mengapa sekolah? Karena mereka “kaya sasaran, miskin sumber daya”. Para ahli sering menggunakan kata-kata itu.
Kami bergegas ke bidang edtech selama pandemi. Tidak ada pelatihan. Tidak ada jaring pengaman. Sekarang kami bertanya-tanya apakah kami dapat mempercayai vendor ini. Jika Canvas tidak bisa melindungi rumahnya sendiri, bisakah distrik?
Terlalu sering hal-hal tersebut berfungsi sebagai teater kepatuhan
EdSurge menyebut keamanan siber sebagai tren teratas pada tahun 2025. Mungkin itu adalah hal yang optimis. Serangan meningkat di tingkat pendidikan tinggi dan K-12. AI membuat mereka lebih tajam. 82 persen dari K-Here adalah organisasi K-12 yang melaporkan sebuah insiden baru-baru ini. Demikian menurut Pusat Keamanan Internet. Lebih dari 9.300 konfirmasi.
Inilah cara kami sampai di sini:
- 2018: UE meloloskan GDPR. Aturan yang jelas.
- 2022: Illuminate Education terkena serangan. AS masih belum memiliki konsensus nasional. Hanya undang-undang negara bagian yang tersebar.
- 2022: LAUSD menolak membayar uang tebusan. Gang membuang 500 GB ke web gelap. “Pot madu,” para ahli menyebut sekolah.
- 2025: Pemerintahan awal Trump. Pemotongan ini berdampak pada dukungan keamanan siber federal. Distrik mengatakan mereka bekerja “dalam kegelapan.”
- 2025: EdSurge melaporkan kabupaten-kabupaten sedang berjuang melawan ancaman AI. Sekolah kecil adalah sasaran empuk. Pertahanan terbaik sebenarnya adalah manusia. Bukan firewall. Rakyat.
Douglas Levin mengungkapkannya secara blak-blakan di media sosial. Audit yang ada saat ini merupakan perisai yang lemah. Teater kepatuhan.
Staf membutuhkan pelatihan. Anak-anak membutuhkan kesadaran. Tapi anggarannya terbatas. Ancaman menjadi lebih cerdas. Datanya tetap berisiko.
Apa yang terjadi jika peringatan berikutnya terjadi pada jam 3 pagi pada hari Selasa?
