Instructure, 데이터 유출 확인, ShinyHunters가 공격을 주장

Source: Bleeping Computer

개요

교육 기술 대기업 Instructure는 사이버 공격으로 데이터가 탈취되었음을 확인했으며, ShinyHunters extortion 조직이 책임을 주장하고 있습니다. Instructure는 미국에 본사를 둔 교육 기술 회사로, 학교, 대학 및 조직이 강의 자료, 과제 및 온라인 학습을 관리할 수 있게 해주는 널리 사용되는 학습 관리 시스템 Canvas를 개발한 것으로 가장 잘 알려져 있습니다.

사건 세부 사항

• 공개 날짜: 금요일(구체적인 날짜는 명시되지 않음) – Instructure는 사이버 보안 사고를 발표하고 제3자 사이버 보안 전문가 및 법 집행 기관과 협력하기 시작했습니다.
• 업데이트: 토요일 – 회사는 사용자 개인 정보가 노출되었다고 밝혔습니다.

“우리는 현재 적극적으로 조사 중이며, 지금까지 확인된 바에 따르면 영향을 받은 기관의 사용자에 대한 이름, 이메일 주소, 학생 ID 번호와 같은 특정 식별 정보와 사용자 간 메시지가 포함된 것으로 보입니다.”

“현재까지 비밀번호, 생년월일, 정부 발급 식별자 또는 금융 정보가 포함되었다는 증거는 발견되지 않았습니다. 만약 상황이 변한다면 영향을 받은 기관에 통보할 예정입니다.”

대응 조치

• 패치를 배포하고 모니터링을 강화했습니다.
• 예방 차원에서 애플리케이션 키를 교체했습니다: Application key rotation notice.
• 고객은 새로운 애플리케이션 키가 발급되도록 Instructure API에 대한 접근 권한을 재인증해야 합니다.

ShinyHunters 주장

ShinyHunters extortion 조직은 자체 데이터 유출 사이트에 Instructure를 올리며 다음과 같이 주장했습니다:

• “전 세계 거의 9,000개의 학교가 영향을 받았습니다. 학생, 교사 및 기타 직원 등 2억 7,500만 명의 개인 식별 정보(PII)가 포함된 데이터입니다.”
• “학생과 교사, 학생 간의 사적인 메시지 수십억 건이 포함되어 있으며, 개인 대화 및 기타 PII가 포함되어 있습니다. 귀사의 Salesforce 인스턴스도 침해되었으며, 훨씬 더 많은 데이터가 관련되어 있습니다.”

ShinyHunters 데이터 갈취 사이트에 등재된 Instructure

ShinyHunters는 데이터가 현재 패치된 취약점을 통해 탈취되었다고 주장합니다. 위협 행위자에 따르면, 주장된 데이터 세트는 다음을 포함합니다:

• 학생, 교사 및 직원과 연관된 2억 4천만 건 이상의 레코드.
• 학생 이름, 이메일 주소, 수강 중인 강좌 및 교사에게 보낸 사적인 메시지.
• 북미, 유럽 및 아시아‑태평양 지역의 거의 15,000개 기관에 걸친 데이터.

영향 평가

BleepingComputer은 어느 학교가 영향을 받았는지, 몇 명이 영향을 받았는지 독립적으로 확인하지 못했으며, 위협 행위자의 주장에 대한 추가 설명을 얻기 위해 Instructure에 연락했습니다.

---

모든 링크와 참고 자료는 그대로 유지되었습니다.