Os deputados da Câmara dos EUA estão exigindo que representantes da Instructure, fabricante de software educacional que foi hackeada duas vezes, testemunhem sobre a resposta da empresa a ciberataques que permitiram que hackers roubassem dados pessoais de milhões de estudantes em todo o mundo.
O Comitê de Segurança Interna da Câmara está investigando os hacks e a violação de dados, pois tem jurisdição sobre as atividades governamentais relacionadas à segurança interna, escreveu o presidente do comitê, o representante Andrew Garbarino, em uma carta ao CEO da Instructure, Steve Daly. A agência de cibersegurança dos EUA, CISA, foi chamada para ajudar no incidente.
O comitê busca o testemunho de Daly para abordar como os hackers invadiram repetidamente os sistemas da Instruct e para divulgar os tipos de dados que foram roubados, disse Garbarino na carta, que cita reportagens do TechCrunch. A carta também afirma que os legisladores querem saber como a empresa está respondendo aos ataques e notificando as escolas afetadas, e busca examinar a adequação de sua eficácia com a CISA.
A Instruct, que fabrica o popular software do portal de informações escolares Canvas, enfrentou críticas por sua resposta aos ataques, especialmente depois de presumir que os hackers abusaram da mesma vulnerabilidade para roubar grandes detalhes de dados sensíveis de estudantes e, posteriormente, desfigurar páginas de login de escolas.
A empresa confirmou esta semana que “chegou a um acordo” com os hackers e alegou que os hackers forneceram evidências de que foram deletados os dados adquiridos. Um representante dos hackers ShinyHunters disse ao TechCrunch que eles não continuariam a extorquir a empresa ou seus clientes, mas se decidiram a dizer quanto a empresa pagou como resgate.
Especialistas em segurança argumentam há muito tempo que pagar hackers apenas finanças ataques futuros. Hackers são conhecidos por terem dados roubados mesmo depois de afirmarem tê-los excluídos, muitas vezes na esperança de extorquir vítimas novamente.
Garbarino disse que a segunda invasão pelos mesmos hackers levanta “sérias questões sobre as capacidades de resposta a incidentes da empresa e suas obrigações para com as instituições e indivíduos particulares que ela detém”.
“A escalada e o momento da violação da Inestrutura, e a incapacidade demonstrada de um grande fornecedor de tecnologia educacional em conter um ator de ameaça após uma intrusão inicial, são precisamente o tipo de vulnerabilidades sistêmicas que este Comitê tem a responsabilidade de examinar”, escreveu Garbarino na carta.
A Instruct ainda não disse se responderá à carta, ou se Daly — ou quem quer que seja o responsável pela cibersegurança na empresa — testemunhará.
O porta-voz da Instructure, Brian Watkins, não respondeu ao pedido de comentário do TechCrunch na quarta-feira.
Fonte: Techcrunch
