30 milioni di utenti. Questa è più o meno la base attiva per Canvas. L’infrastruttura lo gestisce. Migliaia di scuole americane lo utilizzano per valutare, insegnare e gestire il caos. Poi gli hacker lo hanno spento alla fine della settimana scorsa.
L’obiettivo era specifico. Gli account “gratuiti per gli insegnanti” di Instructure sono stati violati. Questi sono i portali che danno accesso diretto agli educatori. Il merito è stato preso dal gruppo ShinyHunters. Affermano 275 milioni di documenti rubati. Coinvolte circa 9.000 istituzioni. Security Week ha riportato i numeri.
Mercoledì mattina, Instructure ha annunciato un accordo. Gli hacker restituirebbero i dati. O almeno cancellarlo digitalmente. La società ha dichiarato di aver ricevuto conferma. Inoltre, la garanzia che i clienti non subiranno estorsioni. Non hanno menzionato il pagamento di un riscatto. Hanno appena programmato un webinar per discutere della “leadership”.
Questo non è un territorio nuovo. Instructure ammette che si tratta della seconda violazione quest’anno. E-mail. Nomi utente. Nomi dei corsi. Tutto esposto. Proprio quando i college stanno annegando nelle finali.
Canvas è tornato online sabato. Tuttavia, sei università e dozzine di distretti scolastici hanno lanciato allerte. La CNN ha notato che ShinyHunters ha fissato una scadenza per martedì per i negoziati. Sembra familiare.
Perché le scuole? Perché sono “ricchi di obiettivi, poveri di risorse”. Gli esperti usano spesso queste parole.
Ci siamo precipitati nell’edtech durante la pandemia. Nessuna formazione. Nessuna rete di sicurezza. Ora ci chiediamo se possiamo fidarci di questi fornitori. Se Canvas non può proteggere la propria casa, può farlo il distretto?
Troppo spesso fungono da teatro di conformità
EdSurge ha definito la sicurezza informatica una delle principali tendenze per il 2025. Forse era ottimistico. Gli attacchi stanno aumentando nelle scuole superiori e K-12. L’intelligenza artificiale li sta rendendo più nitidi. L’82% di K-Here è un’organizzazione K-12 che ha segnalato un incidente di recente. Questo secondo il Center for Internet Security. Oltre 9.300 conferme.
Ecco come siamo arrivati qui:
- 2018: L’UE ha approvato il GDPR. Regole chiare.
- 2022: La Illuminate Education è stata colpita. Gli Stati Uniti non avevano ancora un consenso nazionale. Solo leggi statali sparse.
- 2022: LAUSD si è rifiutata di pagare il riscatto. La gang ha scaricato 500 GB sul dark web. “Vasi di miele”, gli esperti chiamano le scuole.
- 2025: Prima amministrazione Trump. I tagli colpiscono il sostegno federale alla sicurezza informatica. I distretti affermano di lavorare “nell’oscuro”.
- 2025: EdSurge ha segnalato i distretti che combattono le minacce dell’IA. Le piccole scuole sono obiettivi facili. La migliore difesa sono in realtà le persone. Non firewall. Persone.
Douglas Levin lo dice senza mezzi termini sui social media. Gli attuali audit sono scudi deboli. Teatro della conformità.
Il personale ha bisogno di formazione. I bambini hanno bisogno di consapevolezza. Ma i budget sono limitati. Le minacce diventano più intelligenti. I dati restano rischiosi.
Cosa succede quando l’avviso successivo suona alle 3 del mattino di martedì?
