Canvas sập: Hacker ShinyHunters dọa tung data sinh viên

Sinh viên nay sướng nhé, đ*o cần nộp bài tập nữa vì server sập cmnr! Nhưng khoan vội ăn mừng, vì deadline có thể bốc hơi, nhưng dữ liệu cá nhân của các ông bà thì đang chuẩn bị được rao bán công khai trên dark web đấy.

Rốt cuộc thì chuyện quái gì vừa xảy ra?

Dành cho anh em nào chưa kịp hóng, Canvas (thuộc Instructure) - cái LMS (Learning Management System) mà trường đại học nào cũng xài để giao bài tập, chấm điểm - vừa dính quả phốt siêu to khổng lồ.

Hệ thống toang: Giao diện đăng nhập của nhiều trường học bất ngờ bị "deface" (thay đổi giao diện), sinh viên báo lỗi không thể truy cập, hệ thống thì chập chờn như đèn đứt bóng.
Kẻ đứng sau: ShinyHunters - một băng nhóm hacker có số má, chuyên đi tống tiền và săn data. Bọn này vừa ngoi lên tự nhận trách nhiệm cho vụ úp sọt này.
Lời đe dọa: Lão quái ShinyHunters tuyên bố đang nắm trong tay khối lượng lớn dữ liệu của trường học và sinh viên, sẵn sàng tung hê tất cả nếu Instructure không chịu xì tiền chuộc.
Hậu quả nhãn tiền: Sinh viên thì cờ mở trong bụng vì "thầy ơi em không nộp được bài", nhưng khổ thân mấy anh em dev và sysadmin của Instructure với các trường. Giờ này chắc các lão ấy đang toát mồ hôi hột, hì hục check log từ con máy chủ để tìm xem lỗ hổng từ đâu mà ra.

Giang cư mận chia phe combat

Vì sự kiện quá hot, cõi mạng (đặc biệt là mấy dev thích hóng hớt) đang chia ra làm nhiều luồng ý kiến cực kỳ giải trí:

Phe Sinh viên (Ngây thơ vô số tội): "Tuyệt vời, deadline môn Code bỗng dưng bốc hơi! Cảm ơn mấy anh hacker!" - Xin lỗi các pháp sư trẻ, trường sẽ gia hạn deadline thôi, còn số điện thoại, email và mật khẩu của các bạn thì sắp thành public API rồi đấy.
Phe Dev An toàn thông tin (SecOps): Các cao nhân bảo mật thì đang đoán già đoán non. Có người bĩu môi: "Chắc lại ông intern nào lỡ tay commit mịa cái API key lên GitHub public chứ gì?" hoặc "Hệ thống chục triệu user mà làm ăn như cái rổ thế này, chắc security là một optional feature rồi!"
Phe Thuyết âm mưu: Một vài trưởng lão ẩn danh trên Reddit thì cho rằng ShinyHunters dạo này đang "đói", nên bắt đầu đi đánh mấy hệ thống giáo dục vì bọn này nổi tiếng là hạ tầng mỏng, bảo mật yếu nhưng data thì lại cực kỳ chất lượng để bán cho mấy bên chạy ads hoặc lừa đảo.

Tóm cái váy lại: Đừng để mất bò mới lo làm chuồng

Góc nhìn từ Coding4Food: Vụ này Instructure chắc chắn là mất mặt, còn hậu quả thì ai cũng thấy rõ.

Anh em code dạo chúng ta rút ra được gì? Trưởng lão dặn rồi, làm product thì đừng bao giờ coi nhẹ bảo mật. Đừng hardcode credentials, đừng YOLO deploy vào chiều thứ Sáu, encrypt data PII đàng hoàng vào. Đừng vì ép tiến độ ra tính năng mới mà bỏ qua mấy cái cơ bản như rate limit hay audit log. Làm ba chớp ba nháng thì có ngày đền ốm, bị hacker nó tế lên đầu như Instructure bây giờ thì có mà nhảy cầu.

Hy vọng sau cú tát này, các sếp sẽ chịu chi thêm budget cho anh em làm Security, chứ không thì hệ thống cứ mỏng manh như lá mùa thu thôi.

Nguồn hóng hớt:

Hacker News (Score: 846)
The Verge / TechCrunch

Rốt cuộc thì chuyện quái gì vừa xảy ra?

Hệ thống toang: Giao diện đăng nhập của nhiều trường học bất ngờ bị "deface" (thay đổi giao diện), sinh viên báo lỗi không thể truy cập, hệ thống thì chập chờn như đèn đứt bóng.

Kẻ đứng sau: ShinyHunters - một băng nhóm hacker có số má, chuyên đi tống tiền và săn data. Bọn này vừa ngoi lên tự nhận trách nhiệm cho vụ úp sọt này.

Lời đe dọa: Lão quái ShinyHunters tuyên bố đang nắm trong tay khối lượng lớn dữ liệu của trường học và sinh viên, sẵn sàng tung hê tất cả nếu Instructure không chịu xì tiền chuộc.

Hậu quả nhãn tiền: Sinh viên thì cờ mở trong bụng vì "thầy ơi em không nộp được bài", nhưng khổ thân mấy anh em dev và sysadmin của Instructure với các trường. Giờ này chắc các lão ấy đang toát mồ hôi hột, hì hục check log từ con máy chủ để tìm xem lỗ hổng từ đâu mà ra.

Giang cư mận chia phe combat

Vì sự kiện quá hot, cõi mạng (đặc biệt là mấy dev thích hóng hớt) đang chia ra làm nhiều luồng ý kiến cực kỳ giải trí:

Phe Sinh viên (Ngây thơ vô số tội): "Tuyệt vời, deadline môn Code bỗng dưng bốc hơi! Cảm ơn mấy anh hacker!" - Xin lỗi các pháp sư trẻ, trường sẽ gia hạn deadline thôi, còn số điện thoại, email và mật khẩu của các bạn thì sắp thành public API rồi đấy.

Phe Dev An toàn thông tin (SecOps): Các cao nhân bảo mật thì đang đoán già đoán non. Có người bĩu môi: "Chắc lại ông intern nào lỡ tay commit mịa cái API key lên GitHub public chứ gì?" hoặc "Hệ thống chục triệu user mà làm ăn như cái rổ thế này, chắc security là một optional feature rồi!"

Phe Thuyết âm mưu: Một vài trưởng lão ẩn danh trên Reddit thì cho rằng ShinyHunters dạo này đang "đói", nên bắt đầu đi đánh mấy hệ thống giáo dục vì bọn này nổi tiếng là hạ tầng mỏng, bảo mật yếu nhưng data thì lại cực kỳ chất lượng để bán cho mấy bên chạy ads hoặc lừa đảo.

Tóm cái váy lại: Đừng để mất bò mới lo làm chuồng

Góc nhìn từ Coding4Food: Vụ này Instructure chắc chắn là mất mặt, còn hậu quả thì ai cũng thấy rõ.

Hy vọng sau cú tát này, các sếp sẽ chịu chi thêm budget cho anh em làm Security, chứ không thì hệ thống cứ mỏng manh như lá mùa thu thôi.

Nguồn hóng hớt:

Canvas sập, ShinyHunters dọa tung data: Sinh viên mở tiệc, IT trường khóc thét

Rốt cuộc thì chuyện quái gì vừa xảy ra?

Giang cư mận chia phe combat

Tóm cái váy lại: Đừng để mất bò mới lo làm chuồng

Bình luận

Rốt cuộc thì chuyện quái gì vừa xảy ra?

Giang cư mận chia phe combat

Tóm cái váy lại: Đừng để mất bò mới lo làm chuồng

Bài viết liên quan

Cú lừa đồ Vintage: Cái mền 'Buy It For Death' và bài học sương máu cho Dev

Báo cáo môi trường làm việc độc hại: Cơ quan chức năng phán 'Hoàn toàn hợp pháp' và cú quay xe khét lẹt

Tuyển Dụng Treo Đầu Dê Bán Thịt Chó: Ghi "Remote" Để Câu View Và Cái Kết Bị Anh Em Dev Tế Sống

Cloudflare 'Quay Xe', Úp Sọt Hơn 1100 Anh Em: Cú Tát Cuối Năm Cho Làng Tech?

Góc Hóng Biến: Microsoft Edge Lưu Mật Khẩu Khơi Khơi Trong RAM - Ảo Ma Thực Sự!

VS Code tự ý 'nhận vơ' công code cho Copilot: Khi AI cũng biết cướp công trắng trợn!