Instructure заплатила выкуп хакерам Canvas — урок безопасности для EdTech

Помните, как в школе говорили: 'Не подсказывай — получишь двойку'? Instructure, создатели популярной LMS Canvas, видимо, прогуляли этот урок. Компания официально подтвердила, что выплатила выкуп хакерам после взлома системы. Да, той самой, где миллионы студентов сдают курсовые и смотрят оценки.

По данным источников, злоумышленники получили доступ к бэкенду Canvas и пригрозили выложить данные учеников и преподавателей в открытый доступ. Instructure решила не испытывать судьбу: 'Лучше заплатим, чем объяснять родителям, почему их чадо получило 'двойку' из-за утечки', — видимо, подумали в совете директоров.

Интересно, что инцидент произошёл ещё в апреле, но компания молчала до последнего, пока журналисты не надавили. Хакеры, кстати, оказались не из тех, кто берёт биткоинами — пришлось переводить через старый добрый SWIFT. Ирония судьбы: система, которая учит студентов кибербезопасности (ну, если есть такой курс), сама попалась на удочку.

Что это значит для разработчиков? Во-первых, если ваш продукт хранит данные пользователей, готовьтесь к тому, что рано или поздно придут с 'подарком'. Во-вторых, выплата выкупа — не решение, а лишь отсрочка. Лучше потратить бюджет на пентесты и нормальное шифрование, чем на 'гонорар' хакерам.

Комментарий METABYTE: Мы, конечно, не учим выкупы платить, но напомним: безопасность — это не фича, а процесс. Если ваш стартап обрабатывает пользовательские данные, лучше позовите нас на аудит, чем потом объяснять инвесторам, почему вы перевели миллион рублей в даркнет.