Peretas di balik insiden pembobolan raksasa teknologi pendidikan, Instructure, mengklaim telah berhasil mencuri 280 juta rekam data milik siswa dan staf. Data dalam jumlah masif tersebut dilaporkan berasal dari 8.809 perguruan tinggi, distrik sekolah, dan platform pendidikan online.
Sebagai informasi, Instructure adalah perusahaan teknologi pendidikan berbasis komputasi awan (cloud) yang paling dikenal melalui sistem manajemen pembelajarannya (LMS), Canvas. Sistem ini digunakan secara luas oleh sekolah dan berbagai universitas ternama untuk mengelola perkuliahan, tugas, penilaian, hingga komunikasi internal kampus.
Geng ShinyHunters Klaim Bertanggung Jawab
Pada Jumat pekan lalu, Instructure mengungkapkan bahwa mereka sedang menyelidiki sebuah serangan siber. Tak lama berselang, perusahaan akhirnya mengonfirmasi bahwa mereka telah mengalami kebocoran data (data breach), di mana nama pengguna, alamat email, dan pesan pribadi terekspos ke pihak luar.
Geng pemeras ShinyHunters—kelompok peretas yang sama yang bertanggung jawab atas kebocoran data Vimeo baru-baru ini—secara terbuka mengklaim bertanggung jawab penuh atas serangan tersebut dan menyatakan telah mengantongi 280 juta data siswa, guru, dan staf.
Skala Pencurian dan Metode Eksekusi
Aktor ancaman tersebut kini telah menerbitkan daftar berisi 8.809 distrik sekolah, universitas, dan platform pendidikan yang instance Canvas-nya diduga kuat terkena dampak serangan. Mereka juga membagikan jumlah rekaman spesifik per institusi kepada media keamanan siber, yang berkisar mulai dari puluhan ribu hingga beberapa juta data per institusi.
Sang peretas mengklaim bahwa data tersebut dicuri dengan mengeksploitasi fitur ekspor data bawaan Canvas. Fitur yang disalahgunakan ini mencakup kueri DAP, laporan penyediaan (provisioning reports), dan API pengguna. Melalui celah metodologi ini, mereka berhasil memanen ratusan gigabita (GB) rekaman pengguna, pesan pribadi, dan data pendaftaran akademik.
Respons Kewaspadaan dari Pihak Universitas
Meskipun pihak Instructure belum merespons permintaan konfirmasi lebih lanjut terkait insiden ini, beberapa universitas telah mulai mengambil langkah proaktif dengan mengeluarkan pernyataan resmi mengenai potensi dampaknya:
- University of Colorado Boulder: “CU menyadari adanya pelanggaran data yang melibatkan Instructure, perusahaan induk Canvas, sistem manajemen pembelajaran kami. Pelanggaran data yang dilaporkan ini adalah peristiwa berskala nasional yang memengaruhi berbagai institusi.”
- Rutgers University: “Saat ini, Rutgers belum menerima pemberitahuan tentang dampak langsung ke kampus kami. Canvas tetap tersedia dan beroperasi bagi fakultas, staf, dan mahasiswa Rutgers.”
- Tilburg University: “Penyelidikan sedang berlangsung untuk menentukan apa yang sebenarnya terjadi dan sistem mana yang terpengaruh. Belum dapat dipastikan apakah data mahasiswa dan staf Universitas Tilburg telah terdampak. Pertanyaan lebih lanjut telah diajukan kepada pemasok (Instructure) untuk mendapatkan kejelasan lebih lanjut.”