Operator Canvas, Instructure, membayar uang tebusan kepada peretas

 (insidehighered.com)
1 poin oleh GN⁺ 6 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Instructure membayar uang tebusan kepada ShinyHunters, yang dua kali membobol sistem manajemen pembelajaran Canvas, dan mencapai kesepakatan pemulihan
  • Perusahaan menyatakan bahwa sesuai kesepakatan, para peretas mengembalikan data hasil pelanggaran yang terkait dengan sekitar 275 juta pengguna dari lebih dari 8.800 institusi
  • Instructure menjelaskan bahwa mereka menerima shred logs sebagai konfirmasi pemusnahan data dan jaminan bahwa pelanggan tidak akan mengalami pemerasan tambahan
  • ShinyHunters memperingatkan kebocoran nama, email, ID pelajar, dan pesan pribadi, sementara gangguan Canvas membuat sejumlah universitas menunda ujian dan tenggat waktu
  • Cliff Steinhauer dari National Cybersecurity Alliance menilai pembayaran tebusan dapat memberi imbalan pada serangan dan meningkatkan risiko paparan jangka panjang

Pembayaran tebusan Instructure dan pemulihan Canvas

  • Instructure membayar tebusan kepada kelompok kejahatan siber yang dalam satu setengah minggu terakhir dua kali meretas sistem manajemen pembelajaran Canvas miliknya
  • Menurut pembaruan Instructure pada Senin malam, kesepakatan ini membuat para peretas mengembalikan data hasil pelanggaran yang terkait dengan sekitar 275 juta pengguna dari lebih dari 8.800 institusi
  • Instructure menerima shred logs, yaitu konfirmasi digital pemusnahan data, dan juga memperoleh jaminan bahwa “pelanggan Instructure tidak akan diperas, baik secara publik maupun dengan cara lain” akibat insiden ini
  • Kesepakatan ini mencakup “semua pelanggan Instructure yang terdampak”, dan pelanggan individual diberi tahu bahwa mereka “tidak perlu” menghubungi kelompok pemerasan ShinyHunters, yang dua kali membobol dan sempat menonaktifkan Canvas
  • Instructure menyatakan bahwa meski tidak pernah ada kepastian penuh saat berhadapan dengan penjahat siber, penting untuk mengambil semua langkah yang dapat dikendalikan guna memberi ketenangan tambahan kepada pelanggan sejauh mungkin
  • Instructure terus bekerja sama dengan perusahaan-perusahaan spesialis untuk mendukung analisis forensik, memperkuat lingkungan, dan meninjau seluruh data terkait, serta berencana memberikan pembaruan seiring kemajuan pekerjaan

Tuntutan ShinyHunters dan gangguan layanan Canvas

  • Instructure tidak mengungkap jumlah kesepakatan, tetapi kesepakatan itu dicapai sehari sebelum batas waktu tebusan 12 Mei yang ditetapkan oleh ShinyHunters
  • ShinyHunters juga dikaitkan dengan pelanggaran data terbaru di University of Pennsylvania, Princeton University, dan Harvard University
  • Pembobolan Canvas oleh ShinyHunters menyebabkan gangguan layanan besar, dan mereka memperingatkan Instructure untuk membayar jika tidak ingin data pengguna yang mencakup nama, alamat email, dan nomor ID pelajar dibocorkan
  • Dalam surat tebusan yang dipublikasikan di Ransomware.live pada 3 Mei, ShinyHunters mengklaim memiliki “miliaran pesan pribadi antara pelajar dan pengajar, serta antar pelajar”, percakapan pribadi, dan informasi identitas pribadi lainnya
  • Para peretas menuntut Instructure untuk menghubungi mereka paling lambat 6 Mei 2026, dan memperingatkan bahwa jika tidak, mereka akan membocorkan data dan menimbulkan “masalah digital yang menjengkelkan”
  • Instructure sempat terlihat tidak menanggapi tuntutan tersebut, tetapi menangani masalah keamanan, dan Canvas kembali dapat beroperasi penuh hingga Selasa, 5 Mei
  • Namun pada Kamis, pengguna Canvas kembali tidak bisa mengakses akun mereka, dan banyak pengguna yang sedang menyiapkan ujian akhir serta tugas akhir semester hanya melihat pesan dari peretas
  • Pesan peretas menyatakan bahwa “ShinyHunters kembali membobol Instructure”, dan mengeklaim bahwa Instructure hanya memasang patch keamanan tanpa menghubungi mereka
  • Pesan itu juga menuntut agar sekolah-sekolah yang terdampak, jika ingin mencegah data dipublikasikan, berkonsultasi dengan perusahaan penasihat siber dan menghubungi mereka secara privat melalui TOX untuk menegosiasikan kesepakatan, sambil menetapkan batas waktu 12 Mei bagi institusi dan Instructure
  • Dalam surat tebusan yang dipublikasikan di RansomLook, ShinyHunters mengklaim bahwa Instructure tidak memahami situasi atau masuk ke negosiasi untuk mencegah publikasi data, dan jumlah tuntutan mereka juga tidak setinggi yang dibayangkan

Respons universitas dan perubahan komunikasi Instructure

  • Saat gangguan Canvas berlanjut, sejumlah universitas menunda ujian dan tenggat proyek akhir sambil menunggu masalah terselesaikan
  • CEO Instructure Steve Daly mengakui dalam pembaruan situs web perusahaan setelah pembobolan kedua bahwa pekan lalu perusahaan berusaha memastikan fakta secara akurat sebelum berbicara ke publik, tetapi gagal menjaga keseimbangan yang tepat
  • Daly mengatakan, “Kami fokus pada verifikasi fakta, dan menjadi terlalu diam ketika Anda membutuhkan pembaruan yang berkelanjutan,” seraya menyatakan akan mengubah hal itu ke depan
  • Setelah itu, Instructure tampaknya juga mulai berkomunikasi dengan para peretas, dan pada Senin sore situs web mengumumkan bahwa “semua lingkungan Canvas tersedia untuk digunakan”

Risiko pembayaran tebusan

  • Cliff Steinhauer, direktur keamanan informasi dan engagement di National Cybersecurity Alliance, menilai bahwa pembayaran tebusan mungkin menyelesaikan masalah langsung Instructure, tetapi bertentangan dengan prinsip umum respons keamanan siber
  • Steinhauer menilai pembayaran tebusan dapat menciptakan “lingkaran umpan balik berbahaya di mana penyerang pada dasarnya diberi imbalan atas pembobolan yang berhasil”
  • Bahkan jika organisasi percaya telah “menyelesaikan” krisis langsung, hal itu dapat memperkuat insentif ekonomi pemerasan siber dan memberi sinyal kepada pelaku ancaman bahwa menargetkan platform pendidikan besar atau layanan penting adalah sesuatu yang menguntungkan
  • Ia menilai, seperti yang secara konsisten diperingatkan penegak hukum, pembayaran tebusan mendorong serangan tambahan di seluruh industri dan berisiko menormalkan pembayaran itu sendiri sebagai strategi respons insiden yang layak
  • Steinhauer juga menilai kesepakatan antara Instructure dan ShinyHunters masih menyisakan persoalan kepercayaan dan kepastian
  • Sekalipun pelaku kriminal mengklaim telah menghapus data curian atau memberikan “bukti” pemusnahan, tidak ada cara untuk memverifikasinya secara andal, dan di masa lalu data seperti itu sering disimpan, dijual kembali, atau digunakan lagi untuk pemerasan di kemudian hari
  • Dari sudut pandang risiko, organisasi mungkin saja menukar gangguan layanan jangka pendek yang ada di depan mata dengan masalah paparan jangka panjang, yang bisa muncul kembali berbulan-bulan atau bertahun-tahun kemudian tanpa ada lagi daya ungkit tambahan untuk mencegahnya

Bacaan terkait

1 komentar

 
GN⁺ 6 jam lalu
Komentar Hacker News
  • Beberapa tahun lalu ada pejabat Departemen Kehakiman yang pernah menghadiri konferensi dengan panel diskusi tentang pembayaran tebusan seperti ini
    Ia menjelaskannya sebagai sesuatu yang mirip dengan uang tebusan penculikan. Jika warga Amerika disandera, tiap keluarga tentu ingin membayar, tetapi akibatnya muncul industri penculikan warga Amerika. Kongres mencegah itu dengan menjadikan pembayaran kepada penculik ilegal, dan penjelasannya adalah penculikan warga Amerika pun menurun karena tak lagi menguntungkan, sementara warga Eropa lalu menjadi target
    Usulnya adalah mulai memperingatkan konsultan keamanan siber dan perusahaan asuransi yang sering dilibatkan dalam situasi seperti ini bahwa pembayaran ke negara yang terkena sanksi kemungkinan besar sudah ilegal dan bisa menjadi objek penyelidikan. Orang-orang yang kena di awal memang akan terpukul besar, tetapi pada akhirnya industri akan mengubah arah dan lebih jarang menargetkan perusahaan Amerika
    • Arah ini benar. Daripada menciptakan kembali industri kejahatan ransomware dengan membayar tebusan, lebih baik memaksa perusahaan memulihkan diri dari backup dan menghilangkan insentif finansial dari kejahatan ini
      Para eksekutif yang tidak melakukan backup rutin dengan benar tentu harus dimintai pertanggungjawaban
    • Siapa yang mengira memberi remaja jutaan dolar dalam kripto adalah ide bagus
      Uang itu hanya akan dipakai untuk mengeksploitasi lebih banyak celah dan lebih banyak kebodohan lain, ini perlombaan menuju titik terendah tanpa akhir. Lapsus$, kelompok tingkat atas tempat ShinyHunters berasal, bahkan pernah memposting di situs mereka bahwa mereka ingin membeli akses internal ke jaringan perusahaan. Mereka tidak butuh data, hanya jalurnya
      Inilah akibatnya kalau terus memberi jutaan dolar kepada penjahat lewat kripto yang sulit dilacak
    • Saya tidak paham kenapa pembayaran tebusan seperti ini bukan pelanggaran hukum anti pencucian uang. Rasanya mustahil mereka benar-benar memverifikasi bahwa penerimanya bukan pihak yang terkena sanksi atau tidak terkait organisasi yang terkena sanksi
    • Apakah membayar penculik memang benar-benar ilegal di AS? Saya tidak bisa menemukan sumber bahwa undang-undang seperti itu benar-benar pernah disahkan
  • Ada banyak pembahasan bagus soal teori permainan dan insentif ekonomi, tetapi ada poin yang lebih penting dan bersifat membela diri. Kalau bayar tebusan, para peretas akan datang 10 kali lebih ganas
    Pembayaran tebusan mengirim tiga sinyal: Anda rentan terhadap serangan, tidak bisa pulih dari serangan, dan punya uang tunai. Akibatnya Anda akan diserang jauh lebih sering. Anda boleh bertanya bagaimana saya tahu, tapi saya tidak akan menjawab
  • Di satu sisi, setiap kali membayar tebusan kita mendorong orang-orang serupa untuk memulai atau membesarkan bisnis ransomware mereka, jadi jelas buruk
    Di sisi lain, kelompok ransomware yang ingin terus berbisnis harus cukup “jujur” dalam arti tidak memublikasikan atau menghapus data seenaknya. Lucunya, mereka harus tetap dianggap operator ransomware yang bisa dipercaya. Dalam banyak kasus, korban lebih memilih uang dibayar ke operator ransomware daripada datanya bocor. Jadi bagi korban saat ini, membayar mungkin pilihan terbaik, tetapi itu memperbesar kemungkinan adanya korban di masa depan
    Dinamika dan ekonomi ransomware memang menarik
    • Ini memang selalu menjadi teori permainan dari tebusan, contoh klasik masalah aksi kolektif sekaligus bentuk dilema narapidana
      Tiap perusahaan secara individual kemungkinan lebih diuntungkan jika membayar, tetapi jika semuanya tidak membayar, hasil keseluruhannya lebih baik
      Karena itu ada kebijakan resmi tidak membayar tebusan di tempat seperti AS, dan ada kebijakan serupa lainnya. Jika tidak ada mekanisme yang memaksa korban individual untuk tidak membayar, insentif akan selalu mengarah pada pembayaran dan tebusan akan tetap menguntungkan
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Saya tidak yakin reputasi penyerang benar-benar sepenting itu. Mereka bisa rebranding dengan nama baru kapan saja. Toh mereka penjahat siber anonim, dan selain demi mencuci reputasi, ada banyak alasan lain untuk melakukannya
      Entah orang yang sama memakai nama “baru” atau nama lama, dari sudut pandang korban, perhitungannya tampaknya tidak banyak berubah ketika sistem mereka sudah disandera
    • Membayar tebusan harus selalu ilegal, dan karyawan yang menyetujui pembayaran itu harus menghadapi dakwaan pidana federal. Kalaupun akibatnya perusahaan bangkrut atau orang meninggal, itu menurut saya pengorbanan yang masih bisa diterima
    • Jika kita mengasumsikan ransomware akan terus ada dan kapan saja semua data bisa disandera, maka dunia akan didesain menyesuaikan itu
      Pada akhirnya mungkin akan muncul semacam “serikat ransomware” ala Discworld yang menarik “premi asuransi” lalu membereskan pihak yang menyandera data tanpa izin, atau sebaliknya akan lahir sistem berbasis enkripsi ujung-ke-ujung yang membuat data menjadi tidak bernilai
    • Kadang saya memikirkan gagasan “teroris baik hati”[0], yaitu sosok yang merugikan sebagian orang besar-besaran demi dunia yang lebih baik. Kwisatz Haderach di Dune adalah contoh klasiknya, jadi ini bukan ide yang sepenuhnya orisinal, tetapi lucu juga membayangkan bagaimana jika menjalankan perusahaan ransomware yang sama sekali tidak pernah menepati janji setelah menerima tebusan
      Memang akan menghancurkan banyak orang, tetapi semakin baik Anda meniru mereka dan tetap tidak memulihkan data setelah dibayar, semakin besar kemungkinan Anda membuat ransomware tidak lagi bisa dijadikan bisnis. Apa yang mungkin bisa salah? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Pada akhirnya ini terasa seperti “kami memang membayar tebusan, tapi tenang saja, para penjahat bilang semuanya baik-baik saja,” lalu dibungkus sangat rapi untuk pengelolaan citra
    • Mereka bilang menerima “konfirmasi digital penghancuran data (shred logs)”, apakah ini dimaksudkan agar pengguna percaya peretas sama sekali tidak menyimpan datanya?
    • Saya kira membayar tebusan ke peretas itu ilegal, tetapi rupanya mungkin legal atau setidaknya tidak jelas. Setahu saya, minimal ada syarat agar perusahaan bersama aparat penegak hukum memastikan tebusan itu tidak mengalir ke kelompok peretas yang ada dalam daftar sanksi pembayaran pemerintah
      Saya juga penasaran akar serangannya. Saya melihat rumor online bahwa ini mungkin terkait kerentanan situs Salesforce Experience Cloud yang sering dipakai ShinyHunters, tetapi itu belum terkonfirmasi. Yang jelas sudah dipastikan adalah bahwa celahnya terkait fitur “Free-For-Teacher accounts” di Canvas
    • Jika penjahat yang sudah menerima uang lalu tetap merilis kembali informasinya, mereka menurunkan bukan hanya peluang dirinya dibayar di masa depan, tetapi juga peluang penjahat lain dibayar
      Karena itu bahkan penjahat lain pun punya insentif untuk menghentikan pihak yang membocorkan informasi setelah dibayar

  • We received digital confirmation of data destruction (shred logs).
    Ini terdengar sangat naif

    • Para peretas memang punya insentif untuk memusnahkan data sesuai janji. Jika terbentuk pola bahwa data tetap bocor walaupun tebusan dibayar, ke depan tak akan ada yang mau membayar lagi
      Tentu saja itu tidak mencegah peretas diam-diam menjual datanya lalu berkata, “bukan kami, itu orang lain yang mendapat data yang sama dari peretasan lain”
    • Bukan naif, melainkan tampaknya berharap pelanggan yang naif
    • Bagaimana bisa dijamin mereka tidak menyalin datanya lalu hanya menghancurkan satu salinannya, atau bahkan sekadar memalsukan shred logs
    • Saya cuma berharap ini sekadar kalimat humas untuk menjaga muka. Tetap saja, saya berharap perusahaan berhenti membuat klaim seperti ini
  • Proyek publik TI yang bagus mungkin adalah memelihara daftar terbuka organisasi yang menyerah pada tuntutan tebusan, agar kita bisa memilih penyedia lain
    Meski begitu, ini juga butuh keberanian karena ada kemungkinan tanggung jawab pencemaran nama baik. Rasanya disclaimer tidak akan banyak menghindarkan risiko itu
    • Jadi Anda akan memindahkan bisnis ke tempat yang memang diretas tetapi tidak membayar tebusan sehingga data pelanggan bocor?

  • The data was returned to us.
    Setahu saya data itu disalin[1]. Kecuali data aslinya dienkripsi atau dihapus, saya rasa orang tidak akan bilang datanya “dikembalikan”. Frasa ini membingungkan, walau mungkin memang umum dipakai di industri
    Ini kabar baik bagi Monero[2]. Lonjakan harga Januari juga mungkin disebabkan peretasan[3]
    Di situs ShinyHunters, Canvas sempat muncul[4] lalu menghilang[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Para peretas tampaknya punya insentif untuk tidak membocorkannya jika mereka ingin menerima tebusan berikutnya
    • Ini saat yang tepat untuk menekankan bahwa dalam kebocoran data, data itu sendiri jarang benar-benar “dicuri”. Ancaman dan kerugian nyata muncul ketika data yang diambil itu dipakai untuk merugikan Anda
    • Baris setelah kutipan itu adalah ini:

      We received digital confirmation of data destruction (shred logs).
      Jika memang tidak dihapus, itu tentu tidak mengejutkan, tetapi mungkin itulah sebabnya mereka menyebutnya “dikembalikan”. Dalam keyakinan mereka, data itu “dikembalikan” lalu dihapus

  • Dalam jangka panjang, saya penasaran apakah akan lebih baik jika perusahaan seperti ini bangkrut dengan cara apa pun setelah diretas lalu membayar tebusan yang mirip suap
    Menurut saya biaya dari peretasan masih terlalu rendah. Terutama bagi manajemen senior atau jajaran eksekutif, ini hanya diperlakukan sebagai pekerjaan abstrak yang punya biaya waktu dan sumber daya tertentu
    • Saya belum pernah melihat perusahaan yang mengakui bahwa pelanggaran data adalah titik awal mereka menuju kebangkrutan
      Setelah insiden pun pelanggan tidak lari massal. 7.000 institusi pendidikan yang kekurangan dana dan kewalahan kerja juga tidak akan pindah serentak
      Jadi aman untuk menganggap pelanggaran data tidak memberi dampak jangka panjang pada perusahaan. Beberapa bulan kemudian semuanya akan dilupakan
  • Karena hilang dari halaman ShinyHunters dan pemulihannya terlalu cepat, saya sudah menduga begitu. Yang paling ingin saya tahu adalah berapa yang mereka bayar
    Saya juga tidak suka dengan cara mereka berkata data itu aman atau sudah dimusnahkan. Janji seperti itu tampak sangat meragukan dalam kasus seperti ini
  • Bagaimana pencatatan akuntansi untuk hal seperti ini? Pos biayanya diberi nama apa? Apakah perusahaan bisa mengirim uang dalam jumlah besar ke akun kripto yang tidak diketahui tanpa penjelasan apa pun ke otoritas pajak?
    • Saya rasa tebusan dibayar oleh perusahaan asuransi, dan pembayarannya akan dikaitkan dengan polis asuransi yang sedang berlaku. Saya tidak tahu dampak pajaknya, dan saya bukan orang keuangan atau akuntansi
    • Mungkin diberi label “pemulihan data”?