404 Media • 22일 전

역대 최대 학생 데이터 유출: 캔버스 해킹 사태

IMP

9/10

핵심 요약

수천만 명의 학생이 사용하는 교육 플랫폼 캔버스(Canvas)의 모회사가 랜섬웨어 그룹 해킹을 당해 2억 7,500만 명 이상의 개인정보와 수십억 건의 메시지가 유출되었습니다. 이번 사태는 교육 및 개인 데이터를 단일 클라우드 플랫폼에 집중시켰을 때 발생할 수 있는 치명적인 막대한 위험성을 여실히 보여줍니다.

번역된 본문

목요일 오후, 수천 개의 대학교와 유초중고등학교에 재학 중인 수백만 명의 학생들이 사실상 수업의 핵심이 된 종합 교육 기술 소프트웨어인 캔버스(Canvas)에 접속하지 못하고 잠겼습니다. 해커 그룹에 따르면, 랜섬웨어 그룹인 샤이니헌터스(ShinyHunters)가 캔버스의 모회사를 해킹하여 수십억 건의 메시지를 훔치고 2억 7,500만 명 이상의 개인 데이터에 접근한 것으로 보입니다. 또한 이 그룹은 학생들이 캔버스에 접속하지 못하게 시스템을 잠가놓았습니다. 목요일 늦게, 캔버스를 개발한 인스트럭처(Instructure)는 대부분의 캔버스 시스템을 다시 온라인으로 복구했습니다. 회사가 몸값을 지불했는지 여부는 명확하지 않습니다.

이번 침해 사고는 수백만 명의 학생에 대한 교육 및 개인 데이터를 단일 서비스에 집중시키는 것의 위험성을 보여줍니다. 캔버스는 본질적으로 교사가 과제와 강의를 게시하고 토론 게시판을 운영하며, 학생들이 서로 및 교사와 메시지를 주고받고 다른 교육 기술 소프트웨어와 연결할 수 있는 포털입니다. 인스트럭처는 사건 업데이트 페이지에서 훔친 데이터에 "영향을 받은 기관 사용자들의 특정 개인 정보가 포함되어 있다"고 밝혔습니다. 여기에는 이름, 이메일 주소, 학번, 캔버스 사용자 간의 메시지가 포함됩니다." 인스트럭처는 4월 29일과 목요일, 두 번에 걸쳐 해킹을 당했다고도 덧붙였습니다.

해킹이 있은 직후, 저는 신흥 교육 기술을 전문으로 하는 디지털 사서인 이안 링크레터(Ian Linkletter)에게 전화를 걸어 이번 침해 사고의 파급력에 대해 이야기를 나눴습니다. 링크레터는 20년 동안 교육 기술 분야에서 일해 왔으며, 지난 몇 년 동안 코로나19 팬데믹 초기에 두각을 나타낸 원격 시험 감독 소프트웨어인 프록터리오(Proctorio)의 개인정보 침해 우려를 폭로한 것으로 알려져 있습니다. 링크레터는 프록터리오로부터 소송을 당했지만 결국 사건은 기각되었습니다. 링크레터는 이번 캔버스 해핅이 그 규모와 유출된 데이터의 민감한 성격 때문에 "역사상 가장 큰 학생 데이터 개인정보 보호 재난"이라고 말했습니다.

다음은 약간 요약된 저와 링크레터의 대화입니다.

404 미디어: 지금까지 이번 해킹에 대해 알려진 것은 무엇입니까? 링크레터: [목요일 태평양 표준시] 오후 1시 20분경, 사람들이 받은 침해 알림 메시지의 스크린샷을 레딧(Reddit)에 올리기 시작했습니다. 일부 기관에서는 로그인한 사용자들에게 즉시 비밀번호를 변경하라고 경고했습니다. 현재 사람들은 패닉 상태에 빠진 것 같고, 학교 고위 행정실에서는 다음 주 기말고사를 취소해야 할지 논의하기 위해 회의를 하고 있습니다. 학교가 커뮤니케이션, 성적 평가, 기말고사 등 모든 것을 이 학습 관리 시스템에 의존하고 있기 때문에 파급력이 정말 모든 곳에 미칩니다.

404 미디어: 이메일에서 20년 동안 에드테크(EdTech) 분야에서 일하셨다고 하셨고, 이것이 역사상 가장 큰 학생 데이터 개인정보 보호 재난이라고 하셨습니다. 어떤 점에서 그렇게 평가하셨는지 궁금합니다. 링크레터: 예전에 비슷한 기술인 블랙보드(Blackboard)를 지원했고, 브리티시 콜롬비아 대학교(University of British Columbia)에 재직하던 2017년부터 2022년까지 캔버스를 지원했습니다. 2017년 캔버스로 전환하면서 제가 목격한 것은 캐나다 서버에 있던 소규모 자체 호스팅 학습 관리 시스템 앱에서 미국 기술 회사에 모든 것을 맡겨버리는('모든 달걀을 한 바구니에 담는') 중앙 집중식 방식으로의 변화였습니다. 즉, 우리가 직접 데이터를 보관했을 때와 마찬가지로 이 회사들이 우리 데이터를 안전하게 지켜줄 것이라는 믿음이었습니다. 약 10년 전 클라우드로의 전환이 너무 갑작스럽게 일어나면서 갑자기 데이터가 중앙 집중화되었습니다.

제가 생각할 수 있는 유일한 이유는, 모든 시스템이 다운되고 그토록 많은 데이터가 도난당한 이러한 유형의 해킹이 발생하려면 인스트럭처가 모든 사람의 데이터에 접근할 수 있어야 한다는 것입니다. 이는 불필요해 보입니다. 모든 고객사에 걸쳐 이렇게 광범위하게 피해가 퍼진 것은 우리가 전에 본 적이 없는 일입니다. 메시지 내용이 유출되었기 때문에 피싱 공격이 사용자 맞춤형으로 변하기가 매우 쉽습니다. 마치 "캔버스가 해킹당했는데... 대화를 계속해 볼까요?"라는 식으로 사람들에게서 정말 개인적인 정보를 얻어낼 수 있습니다. 그것 또한 완전히 새로운 위협입니다. 또한 m(을) 상상할 수도 있습니다.

원문 보기

원문 보기 (영어)

Thursday afternoon, millions of students at thousands of universities and K-12 schools were locked out of Canvas, a piece of catch-all education technology software that has become the de facto core of many classes. ShinyHunters, a ransomware group, hacked Canvas’s parent company and apparently stole “billions” of messages and accessed more than 275 million individuals’ data, according to the hacking group . The group also locked students out of Canvas. Later Thursday, Instructure, which makes Canvas, was able to mostly put Canvas back online ; it is not clear if the company paid a ransom or not. The breach demonstrates the danger in centralizing the educational and personal data of millions of students in a single service. Canvas is essentially a portal where teachers post assignments and lectures, have discussion boards, and students can message with each other and their teachers and connect with other pieces of education tech software. Instructure noted on an incident update page that the stolen data includes “certain personal information of users at affected organizations. That includes names, email addresses, student ID numbers, and messages among Canvas users.” Instructure also noted that it was breached twice —once on April 29 and again on Thursday. Soon after the hack, I called up Ian Linkletter, a digital librarian specializing in emerging education tech, to talk about the implications of the breach. Linkletter has worked in education tech for 20 years and over the last few years has become known for exposing privacy concerns in Proctorio, a remote test proctoring software that rose to prominence during the early days of the COVID-19 pandemic. Linkletter was sued by Proctorio but eventually the case was dropped. Linkletter told me the Canvas hack is “the biggest student data privacy disaster in history” in part because of its scale and the sensitive nature of what was stolen. This is my conversation with Linkletter, which has been lightly condensed. 404 Media: What do we know about the hack so far? Linkletter: At about 1:20 PM [Pacific, Thursday], people started posting screenshots to Reddit of this breach message that they got. Some institutions were cautioning people to change their passwords if they were logged in, right now it just seems like people are in panic mode, some senior administration at schools are in meetings talking about whether they need to cancel finals next week. It’s just the implications are on everything because schools are reliant on this learning management system for everything—communications, grading, finals, everything. In your email to me, you said you've worked in EdTech for 20 years and you said this is the biggest student data privacy disaster in history. I'm curious what sort of made you frame it that way. I supported Blackboard [a similar piece of tech] way back in the day and I supported Canvas from about 2017 to 2022 when I worked at the University of British Columbia. And what I was there for when we switched to Canvas in 2017 was the shift from like these scrappy little self-hosted learning management system apps that would be on Canadian servers to this centralized, all eggs-in-one basket faith in a U.S. tech company. This idea that our data would be just as safe with them as it was when we had it. And because this move to the cloud happened so suddenly about 10 years ago, all of a sudden data got centralized. The only way that I can think of that this type of hack where everything went down, where so much was stolen would be if Instructure had access to everybody's data, which doesn't seem necessary. For it to be just so widespread across every customer is something that, like, [we’ve] never seen before. Because the contents of messages got leaked, it’s really easy for phishing attacks to get customized. Like, Canvas got hacked [...] and continuing our conversation type of thing, you can get some really personal information from people. And that's also new. I can also imagine messages between students and teachers to be pretty sensitive. I supported instructors that used Canvas. And so I would hear these stories like, and they're on like the professor’s subreddit and stuff too, like students are telling you that people died [to explain absences]. There's personal circumstances, medical circumstances, accessibility accommodations, disputes, sexual assault allegations, like all sorts of stuff would be getting reported to the instructor using Canvas. If that information is out across hundreds of millions of people, there's a lot of harm that's going to happen. What will you be kind of monitoring as this plays out? My biggest concern right now is monitoring the institutional response. I feel very strongly that students should have been warned about this like days ago. And it just took this second hack where students got something in their face notifying them that really made schools respond. So I believe that students need to be warned or else they're going to get harmed. And the longer schools wait to tell students about what’s going on, even the little that they know, the more stress and chaos and potential risk to student privacy and safety is at stake. About the author Jason is a cofounder of 404 Media. He was previously the editor-in-chief of Motherboard. He loves the Freedom of Information Act and surfing. More from Jason Koebler

데이터 유출 에드테크(EdTech) 보안/해킹 클라우드 보안 개인정보 보호