Universidades suspendem exames finais após hack do Canvas

Faculdades e universidades em todo o país adiaram exames finais e datas de entrega de tarefas depois que o Canvas, um sistema de gerenciamento de aprendizagem usado por 41% das instituições de ensino superior norte-americanas, temporariamente ficou off-line devido a um hackear.

A Universidade de Illinois em Urbana-Champaign adiou “todos os exames finais e tarefas, incluindo trabalhos, projetos, etc., agendados para sexta-feira, sábado ou domingo”, escreveu o reitor John Coleman a estudantes e funcionários na noite de quinta-feira. Ele acrescentou que, por “consistência e clareza”, o adiamento afeta todas as turmas – mesmo aquelas que não usam o Canvas.

A reitora da Baylor University, Nancy Brickhouse, disse a estudantes e funcionários que sua universidade planejava restaurar o acesso ao sistema Canvas às 13h, horário local, na sexta-feira – depois que a Instructure, a empresa proprietária do Canvas, restaurou o acesso das universidades nacionalmente durante a noite. Ela disse que os exames finais que estavam marcados para sexta-feira foram remarcados para quinta-feira da próxima semana e serão ser administrado on-line.

“Pedimos aos professores que desenvolvam flexibilidade para que os alunos que estão viajando ou tenham outros compromissos pós-semestre possam concluir seus exames quando seus horários permitirem”, escreveu ela. “Reconhecemos que esta mudança apresenta desafios em relação à segurança dos testes.”

Para reduzir os riscos – e caso o Canvas caia novamente – ela pediu aos professores que exportassem livros de notas e baixar materiais importantes do curso em seus computadores, entre outras coisas. Os adiamentos dos exames afetam até as datas de mudança; o prazo para a saída dos alunos dos dormitórios “permanece 24 horas após a realização do último exame final”.

A Arizona State University cancelou todos os exames programados para acontecer no Canvas sexta e sábado, estação de TV local 12Notícias relatadoacrescentando que os instrutores atualizarão os alunos sobre os ajustes de notas.

E o Sistema da Universidade da Califórnia disse em um comunicado na quinta-feira que “por muita cautela”, o gabinete de seu presidente “instruiu todos os locais da UC a bloquear ou redirecionar temporariamente o acesso ao Canvas, e o acesso ao Canvas não será restaurado até que estejamos confiantes de que o sistema é seguro”. Em uma atualização na sexta-feira, a UC disse que está “tomando decisões baseadas em riscos sobre quando restaurar o acesso ao Canvas nos campi com base em suas necessidades operacionais”.

As rápidas respostas institucionais – e a relutância de alguns em dizer aos estudantes e funcionários que poderiam regressar à plataforma, mesmo depois de a Instructure a ter colocado novamente online – reflectiram a incerteza generalizada causada pela disrupção do Canvas. Em um comunicado na sexta-feira, Cliff Steinhauer, diretor de segurança e engajamento da informação da Aliança Nacional de Cibersegurança, disse que “a violação ressalta o quão profundamente as escolas agora dependem de plataformas digitais centralizadas para manter as operações acadêmicas diárias funcionando”.

“Mesmo que informações financeiras altamente confidenciais não tenham sido expostas, os registros educacionais, as comunicações e os dados de identidade ainda podem ser valiosos para os cibercriminosos para phishing, falsificação de identidade e ataques futuros”, disse Steinhauer. “Os cibercriminosos são cada vez mais incentivados a atacar grandes fornecedores de tecnologia e prestadores de serviços partilhados porque comprometer uma única plataforma pode fornecer acesso a milhares de organizações ao mesmo tempo, tornando-a muito mais eficiente e lucrativa do que atacar escolas individuais, uma por uma. … À medida que os atacantes visam cada vez mais plataformas que não podem permitir o tempo de inatividade, o setor da educação deve esperar mais ataques orientados por extorsão, destinados a maximizar a pressão e a perturbação.”

No início desta semana, o grupo criminoso de extorsão ShinyHunters alegou que seu ataque ao Instructure comprometeu informações de identificação pessoal de 275 milhões de pessoas, incluindo estudantes e funcionários, em 9.000 instituições de ensino fundamental e médio e ensino superior em todo o mundo. O Canvas disse que havia resolvido a violação de dados na quarta-feira, mas no dia seguinte, alunos e professores relataram ter visto uma mensagem na qual ShinyHunters dizia “violou a Inestrutura (de novo)”. O grupo disse que as instituições comprometidas “interessadas em impedir a divulgação de seus dados” deveriam “consultar uma empresa de consultoria cibernética e entrar em contato conosco em particular em [the encrypted messaging application] TOX para negociar um acordo.” Deu às instituições e à Instructure um prazo de terça-feira para fazer um acordo.

Na tarde de quinta-feira, a Instructure disse que “Canvas, Canvas Beta e Canvas Test” não estavam disponíveis em meio a uma investigação. Na sexta-feira, a Instructure disse que o Canvas havia sido restaurado.

Inestrutura não forneceu Por dentro do ensino superior uma entrevista na sexta-feira ou responda a perguntas por escrito. Em uma declaração, disse que na quinta-feira – o mesmo dia em que as mensagens do ShinyHunters apareceram para os usuários – “descobriu que o ator não autorizado envolvido em nosso incidente de segurança em andamento fez alterações nas páginas que apareciam quando alguns alunos e professores estavam logados.

A empresa disse em seu site que “o ator não autorizado realizou esta atividade explorando um problema relacionado às nossas contas Free-For-Teacher”, e o mesmo problema “levou ao acesso não autorizado na semana anterior”.

“Tomamos a difícil decisão de encerrar temporariamente nossas contas Free-For-Teacher”, disse a Instructure em seu comunicado. “Isso nos dá confiança para restaurar o acesso ao Canvas, que agora está totalmente on-line e disponível para uso. Lamentamos a inconveniência e a preocupação que isso possa ter causado.”