Ο developer του Canvas ζητά συγγνώμη για τη μαζική διακοπή λειτουργίας της Πέμπτης, αλλά έχουν ήδη κατατεθεί αρκετές ομαδικές αγωγές για αποζημίωση. Η Instructure, με έδρα τη Γιούτα, εξέδωσε τη συγγνώμη μετά το περιστατικό που ανέστειλε τις τελικές εξετάσεις σε πολλά πανεπιστήμια που χρησιμοποιούν την πλατφόρμα ηλεκτρονικής εκπαίδευσης για εξετάσεις και εργασίες. Η κυβερνοσυμμορία πίσω από τη διακοπή λειτουργίας, η ShinyHunters, έκλεψε επίσης δεδομένα για πιθανώς δεκάδες εκατομμύρια μαθητές σε σχεδόν 9.000 σχολεία. «Τις τελευταίες ημέρες, πολλοί από εσάς αντιμετωπίσατε μεγάλη αναστάτωση. Άγχος στις ομάδες σας. Χαμένες στιγμές στην τάξη. Ερωτήσεις που δεν μπόρεσατε να απαντήσετε. Σας άξιζε πιο συνεπής επικοινωνία από εμάς, και δεν την παρείχαμε. Λυπάμαι γι’ αυτό», έγραψε ο CEO της Instructure, Steve Daly, σε μια νέα ανάρτηση. Η εν εξελίξει έρευνα της εταιρείας διαπίστωσε ότι «ονόματα χρήστη, διευθύνσεις email, ονόματα μαθημάτων, πληροφορίες εγγραφής και μηνύματα» εκτέθηκαν. Αυτό διαφέρει ελαφρώς από τα αρχικά ευρήματα της Instructure, τα οποία ανέφεραν ότι είχαν επηρεαστεί «ονόματα, διευθύνσεις email, αριθμοί φοιτητικών ταυτοτήτων». Ωστόσο, τα ονόματα χρήστη και οι διευθύνσεις email μπορούν ακόμα να αποκαλύψουν το πλήρες όνομα ενός σπουδαστή. Ο Daly πρόσθεσε: «Εξακολουθούμε να επαληθεύουμε όλα τα ευρήματα, αλλά θέλουμε να είμαστε σαφείς σχετικά με το τι κατανοούμε ότι επηρεάστηκε και τι όχι». Ο CEO της Instructure αποκάλυψε επίσης ότι οι χάκερς εκμεταλλεύτηκαν μια «ευπάθεια σχετικά με τα εισιτήρια υποστήριξης στο περιβάλλον Free for Teacher», μια υπηρεσία που επιτρέπει στους εκπαιδευτικούς να χρησιμοποιούν ορισμένες υπηρεσίες του Canvas χωρίς κόστος. Η ShinyHunters είναι γνωστή για τη χρήση τηλεφωνικών κλήσεων και την πλαστοπροσωπία, συμπεριλαμβανομένης της προσποίησης ότι είναι προσωπικό του τμήματος υποστήριξης, ενώ καταχράται τις ροές εργασιών IT για να αποκτήσει πρόσβαση. Επομένως, είναι πιθανό η ShinyHunters να κάλεσε την υποστήριξη του Canvas της Instructure και να ξεγέλασε έναν υπάλληλο ώστε να της παραδώσει εσωτερική πρόσβαση, πιθανώς επισκεπτόμενος μια ψεύτικη πύλη σύνδεσης που δημιούργησε ο χάκερ, μια άλλη τακτική που είναι γνωστό ότι χρησιμοποιεί η ομάδα. Σε απάντηση στην παραβίαση, η Instructure έχει κλείσει προσωρινά την υπηρεσία Free-for-Teacher. Η Instructure έχει επίσης δημιουργήσει μια «ειδική σελίδα ενημέρωσης για το περιστατικό, ένα ενιαίο σημείο όπου παρουσιάζουμε όσα γνωρίζουμε, τι κάνουμε και ποια είναι τα επόμενα βήματα. Θα δημοσιεύσουμε μια άλλη ενημέρωση εντός 48 ωρών και εργαζόμαστε για την παροχή μιας περίληψης της έκθεσης εγκληματολογικής έρευνας, την οποία θα μοιραστούμε μόλις είναι έτοιμη», πρόσθεσε. Η Instructure αναφέρει ότι οι χάκερς απομακρύνθηκαν την Πέμπτη και ότι η χρήση του Canvas είναι ασφαλής. Ωστόσο, τα δικαστικά αρχεία δείχνουν ότι έχουν κατατεθεί τουλάχιστον 18 αγωγές στις ΗΠΑ εναντίον της εταιρείας μετά το περιστατικό. Η ShinyHunters αρχικά καυχήθηκε ότι έκλεψε «δεδομένα 275 εκατομμυρίων ατόμων, από μαθητές, καθηγητές και άλλο προσωπικό, τα οποία περιέχουν PII (προσωπικά στοιχεία ταυτοποίησης)», στο πλαίσιο της προσπάθειας της ομάδας να πιέσει την Instructure να πληρώσει λύτρα. Μία από τις ομαδικές αγωγές, που κατατέθηκε στο Τέξας, ισχυρίζεται επίσης ότι «οι φοιτητές υπέστησαν ζημίες σε ευαίσθητα εκπαιδευτικά αρχεία, επειδή η Instructure έχει δηλώσει ότι τα δεδομένα που αποκτήθηκαν περιλάμβαναν μηνύματα μεταξύ χρηστών του Canvas, και τα μηνύματα του Canvas συχνά περιέχουν εμπιστευτικές επικοινωνίες φοιτητών σχετικά με ασθένειες, διευκολύνσεις για άτομα με αναπηρία, εγκυμοσύνη, ψυχική υγεία, παρενόχληση, εκφοβισμό, βαθμούς, οικονομικές δυσκολίες, αβεβαιότητα στέγασης, ανησυχίες σχετικά με τη μετανάστευση, οικογενειακές έκτακτες ανάγκες και θέματα ασφάλειας, μεταξύ άλλων».
