Instructure, raksasa edtech di balik sistem pembelajaran Canvas yang populer, sudah mengonfirmasi bahwa mereka terkena serangan siber yang mengakibatkan kebocoran data pelanggan yang sensitif.
Perusahaan tersebut merilis pernyataan singkat yang mengaku bahwa insiden ini sudah ditangani. “Sambil melanjutkan penyelidikan bersama ahli forensik eksternal, saat ini kami percaya bahwa insiden ini telah terkendali,” demikian isi pemberitahuan tersebut.
Instructure menjelaskan bahwa para pelaku akses berhasil mendapatkan “informasi identifikasi tertentu dari pengguna” di lembaga yang terkena dampak, termasuk nama, alamat email, nomor identitas mahasiswa, dan komunikasi pengguna.
ShinyHunters Kembali Beraksi
Menariknya, ShinyHunters, kelompok hacker yang terkenal, mengklaim bertanggung jawab atas serangan ini dengan mencantumkan nama Instructure di situs gelap mereka.
Mereka mengklaim bahwa hampir 9.000 sekolah di seluruh dunia terpengaruh. Data yang mereka sebutkan mencakup 275 juta individu, mulai dari siswa, guru, hingga staf lain yang memperlihatkan informasi pribadi (PII). “Ada miliaran pesan pribadi antara siswa dan guru, serta siswa dengan siswa lainnya, yang berisi percakapan pribadi dan informasi sensitif lainnya,” tulis para pelaku.
Meskipun tidak ada kata sandi, tanggal lahir, identifikasi pemerintah, atau informasi finansial yang terlibat, memiliki nama, email, dan komunikasi sudah menjadi modal yang cukup untuk melakukan serangan phishing yang sangat meyakinkan dan pencurian identitas, yang bisa berujung pada penipuan yang lebih merusak.
Instructure juga menyatakan bahwa mereka telah mencabut akses yang memiliki hak istimewa dan token akses yang terkait dengan sistem yang terpengaruh. Mereka telah mendeploy patch, mengganti kunci, dan menerapkan pemantauan yang lebih ketat di semua platform mereka.
Walaupun perusahaan tidak menjelaskan berapa banyak korban yang terkena dampak, kelompok ShinyHunters berhasil mengekspos sistem Instructure melalui kerentanan yang ada, yang kini sudah diperbaiki oleh pihak perusahaan.
Serangan ini menggambarkan risiko besar yang ada dengan integrasi pihak ketiga, dan para ahli mendorong agar pengelolaan akses menjadi lebih ketat. Kejadian ini menekankan perlunya perusahaan untuk lebih berhati-hati dan memperkuat sistem keamanan mereka, terutama saat menyangkut data sensitif pengguna.
Dengan meningkatnya jumlah serangan siber yang menargetkan institusi pendidikan, masyarakat semakin menyadari pentingnya kebijakan keamanan yang efektif. Ini adalah pengingat bagi semua pihak untuk lebih waspada serta memprioritaskan langkah-langkah perlindungan data yang lebih baik.
