Canvas ล่มหลัง ShinyHunters ขู่ปล่อยข้อมูลโรงเรียนที่รั่วไหล

 (theverge.com)
1 คะแนน โดย GN⁺ 2 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แพลตฟอร์มบริหารการเรียนรู้ Canvas ของ Instructure ล่มหลังยืนยันเหตุข้อมูลรั่วไหลครั้งใหญ่ โดย Canvas, Canvas Beta และ Canvas Test ถูกสลับเข้าสู่โหมดบำรุงรักษา
  • ข้อมูลที่ได้รับผลกระทบจากเหตุรั่วไหลรวมถึง ชื่อนักเรียน, อีเมล, หมายเลขประจำตัว และข้อความ
  • นักเรียนที่เข้าใช้ Canvas เห็นข้อความที่กลุ่มแฮ็กเกอร์ ShinyHunters อ้างว่าเป็นผู้ก่อเหตุโจมตี และขู่เผยแพร่ข้อมูลของโรงเรียน
  • ShinyHunters ขู่ว่าหากไม่มีการเจรจาก่อนสิ้นสุดวันของวันที่ 12 พฤษภาคม 2026 จะปล่อยข้อมูลทั้งหมด และเรียกร้องให้โรงเรียนที่ได้รับผลกระทบติดต่อแบบส่วนตัวผ่าน TOX เพื่อเจรจายอมความ
  • Instructure ระบุว่าได้ปล่อยแพตช์เพื่อเสริมความปลอดภัยของระบบหลังการละเมิดเมื่อสัปดาห์ที่แล้ว ขณะที่ ShinyHunters อ้างบนเว็บไซต์ปล่อยข้อมูลของตนว่ามีข้อมูลจาก 9,000 โรงเรียน และนักเรียน ครู และเจ้าหน้าที่ 275 ล้านคน

สถานการณ์การหยุดชะงัก

  • หน้าสถานะ ของ Instructure แจ้งว่า “ได้สลับ Canvas, Canvas Beta และ Canvas Test เข้าสู่โหมดบำรุงรักษา”
  • Instructure ระบุว่าคาดว่าจะกู้คืนระบบได้ในไม่ช้า และจะอัปเดตข้อมูลโดยเร็วที่สุด

การข่มขู่ของ ShinyHunters

  • ShinyHunters อ้างว่าได้เจาะ Instructure อีกครั้ง และกล่าวว่า Instructure ไม่ได้ติดต่อกลับ แต่เลือกทำ “แพตช์ความปลอดภัย” แทน
  • ในข้อความมีลิงก์ไปยังรายชื่อโรงเรียนที่ ShinyHunters อ้างว่าเจาะผ่าน Canvas
  • กลุ่มดังกล่าวเรียกร้องว่า หากโรงเรียนที่อยู่ในรายชื่อผู้ได้รับผลกระทบต้องการป้องกันไม่ให้ข้อมูลถูกเผยแพร่ ให้ปรึกษาบริษัทที่ปรึกษาด้านไซเบอร์ก่อน แล้วติดต่อแบบส่วนตัวผ่าน TOX เพื่อเจรจาข้อตกลง

ขนาดความเสียหายและคำกล่าวอ้างในอดีต

  • ก่อนหน้านี้ ShinyHunters เคยอ้างความรับผิดชอบต่อการโจมตี Ticketmaster, AT&T, Rockstar Games, ADT และ Vercel
  • ตามรายงานของ Bleeping Computer ShinyHunters อ้างว่าบนเว็บไซต์ปล่อยข้อมูลของตนมีข้อมูลจาก 9,000 โรงเรียน ครอบคลุมนักเรียน ครู และเจ้าหน้าที่อื่น ๆ 275 ล้านคน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2 시간 전
ความเห็นจาก Hacker News

  • มองจากหน้างาน ผมสอนอยู่ในมหาวิทยาลัยที่ใช้ Canvas และตอนนี้เป็นช่วงสอบปลายภาคพอดี
    วันนี้เวลา 5:17pm EDT ผมเพิ่งได้รับอีเมลแจ้งเหตุขัดข้องจากฝ่ายวิชาการฉบับแรก และมีอีเมลเพิ่มตอน 6:24 กับ 6:57 แต่เนื้อหาส่วนใหญ่พูดถึงขั้นตอนชดเชย/ทดแทน มากกว่าจะอธิบายว่าเกิดอะไรขึ้นกันแน่
    นอกจากคำว่า “หยุดชะงักทั่วประเทศ” กับ “การโจมตีทางไซเบอร์” ก็ไม่มีรายละเอียดอะไรเลย และดูเหมือนว่าทางมหาวิทยาลัยเองก็ไม่รู้ไปมากกว่านั้น
    จุดที่ชวนคิดคือมีคำสั่งให้นักศึกษาส่งงานที่ปกติส่งผ่าน Canvas มาทางอีเมลถึงอาจารย์โดยตรง ซึ่งดูเหมือนจะไม่ได้มั่นใจนักว่าระบบจะกลับมาได้เร็ว
    สำหรับผมเองผลกระทบไม่มาก ผมเป็นอาจารย์ CS งานของนักศึกษาส่วนใหญ่อยู่บนอุปกรณ์ของภาควิชาและส่งผ่านทางนั้น ส่วนการสอบจริงก็ยังสอบบนกระดาษ
    ที่สำคัญกว่านั้นคือผมไม่เคยเชื่อถือสมุดคะแนนของ Canvas เลย ผมลงคะแนนใน Canvas ไว้ให้นักศึกษาตรวจสอบเท่านั้น และเก็บสมุดคะแนนต้นฉบับไว้ในสเปรดชีตบนเครื่องตลอด
    แต่สำหรับเพื่อนร่วมงานหลายคน นี่คือหายนะระดับ “ตึกไฟไหม้แล้วข้อสอบกับสมุดคะแนนหายหมด” เพราะแม้แต่อาจารย์ที่สอนแบบเจอหน้ากันก็ย้ายการประเมินส่วนใหญ่ไปใช้ฟังก์ชัน “quiz” ของ Canvas รวมถึงสอบปลายภาคบน Canvas และใช้สมุดคะแนนของ Canvas เป็นบันทึกต้นฉบับ
    ฝ่ายบริหารก็สนับสนุนแนวทางนี้มาตลอดด้วยเหตุผลว่า “จะส่งเกรดได้ง่ายขึ้น” อาจารย์กลุ่มนี้อาจแทบไม่มีหรือไม่มีชิ้นงานของนักศึกษาเก็บไว้เลย และนักศึกษาก็อาจเขียนงานกันใน Canvas ตั้งแต่แรก จึงไม่มีอะไรจะส่งกลับมาทางอีเมลได้ อีกทั้งคะแนนหรือแม้แต่บันทึกการเข้าเรียนก็อาจเก็บอยู่แค่ใน Canvas เท่านั้น
    ถ้าเคยส่ง advisory grades ช่วงกลางภาคในเดือนมีนาคม อย่างน้อยอาจยังเข้าถึงส่วนนั้นได้ แต่นั่นอาจเป็นทั้งหมดที่มี
    สัญชาตญาณผมบอกว่ามันจะจบในไม่กี่ชั่วโมง หรือไม่ก็ลากไปหลายสัปดาห์ ถ้ามีแบ็กอัปแบบ air-gapและแค่ต้องยกเซิร์ฟเวอร์ใหม่ขึ้นมาก็เป็นแบบแรก ถ้าไม่ใช่ก็เป็นแบบหลัง ดูไม่ค่อยมีทางสายกลาง
    ถ้ายังไม่กลับมาใช้ได้ภายในเช้าพรุ่งนี้ ผมไม่รู้จริง ๆ ว่ามหาวิทยาลัยของเราและอาจารย์อีกมากทั่วประเทศจะส่งเกรดอย่างยุติธรรมและสมเหตุสมผลกันอย่างไร
    ในกรณีสุดโต่ง อาจต้องให้รายวิชาที่เดิมให้ letter grade ส่งผลเป็นผ่าน/ไม่ผ่านเหมือนช่วงเทอมโควิด และเหมือนเทอมที่มหาวิทยาลัยเราเคยมีอาคารวิชาการใหญ่สองหลังไฟไหม้จริง ๆ ก่อนสอบปลายภาคหนึ่งสัปดาห์ ไม่งั้นจะทำอะไรได้อีกล่ะ
    แน่นอนว่าเราอาจไม่ควรเอาไข่ทั้งหมดใส่ไว้ในตะกร้าใบเดียวและไม่ควรเชื่อ “คลาวด์” มากเกินไป แต่ตอนนี้เรือออกจากฝั่งไปแล้ว ระยะยาวก็น่าสงสัยว่าจะมีใครได้บทเรียนจากเรื่องนี้ไหม
    อัปเดต: ณ 11:45pm EDT อินสแตนซ์ Canvas ของมหาวิทยาลัยเรากลับมาใช้งานได้อีกครั้งแล้ว หวังว่าจะไม่ล่มอีก แต่เผื่อไว้ผมคงดาวน์โหลดบางอย่างเก็บไว้

    • การตั้งค่าให้ส่งอีเมลถึงนักศึกษาเมื่อทำควิซหรือกิจกรรมเสร็จนั้นง่ายมาก
      ที่ไม่ทำกันก็เพราะอยากควบคุมข้อมูล และผมก็ไม่เข้าใจเหมือนกันว่าทำไมมหาวิทยาลัยถึงไม่บังคับใช้เรื่องนี้
    • ผมทำงานด้าน IT ในภาคการศึกษา และเราก็แทบไม่ได้รู้อะไรมากกว่านี้
      วันนี้ข้อมูลที่เรารู้ก็มาจากเธรดใน Reddit กับ Hacker News เท่านั้น ในการสื่อสารอย่างเป็นทางการไม่มีการพูดถึงเรื่องการโจมตีเลย แต่หน้าเข้าสู่ระบบถูกแก้ไขโดย ShinyHunters
    • ดูเหมือนจะมีทางแบบผสมได้ คือรีบจัดสอบปลายภาคหรือโปรเจกต์ขึ้นมา แล้วให้นักศึกษาเลือกได้ว่าจะรับแบบผ่าน/ไม่ผ่านหรือรับคะแนนจริง
      และก็หวังว่าสักวัน SaaS จะหายไป และเราจะกลับไปปล่อยซอฟต์แวร์ที่ควบคุมและแก้ไขได้เองตามต้องการ
    • ผมสงสัยว่าทำไมไม่แค่จัดสอบครั้งเดียวแล้วตัดเกรดวิชาจากนั้นไปเลย
      ตามหลักก็ควรเป็นแบบนั้นอยู่แล้ว คะแนนงานระหว่างภาค หรือยิ่งแย่กว่านั้นคือคะแนนเข้าเรียน ไม่จำเป็นต่อการประเมินว่านักศึกษาเรียนรู้เนื้อหาหรือไม่ แค่สอบแล้วจบก็พอ

  • แปลกใจที่เธรดนี้มีคอมเมนต์น้อยขนาดนี้ น่าจะมีนักศึกษาหลายล้านคนได้รับผลกระทบในช่วงเวลาที่เครียดที่สุดของปี
    เดิมทีผมก็เกลียด Canvas และอาจรวมถึงบริษัทระบบ LMS ทั้งหมดอยู่แล้ว แต่สิ่งที่ทำให้เหตุขัดข้องครั้งนี้น่าขันเป็นพิเศษคือมันเกิดขึ้นพอดีกับช่วงที่มหาวิทยาลัยกำลังบังคับให้อาจารย์ทุกคนต้องอัปโหลดทุกอย่างขึ้น Canvas แบบไม่มีข้อยกเว้น เพราะข้อกำหนดเรื่องการปฏิบัติตาม ADA
    ยกตัวอย่างเช่น แค่บอกให้นักศึกษาไปอ่าน PDF ที่อยู่บนเว็บไซต์ส่วนตัวก็ถูกห้ามไว้ชัดเจน
    ดูเหมือนหลายคนที่นี่จะไม่ค่อยรู้ว่าคณาจารย์จำนวนมากก็ไม่ได้ชอบที่ถูกบังคับให้ใช้ Canvas เหมือนกัน

    • จนถึงตอนนี้พวกเขายังบังคับผมไม่สำเร็จ แต่ก็น่าเศร้าที่แม้แต่อาจารย์ด้านคอมพิวติ้งเอง ก็ยังมีจำนวนมากที่ไม่สามารถดูแลโครงสร้างพื้นฐานออนไลน์ขั้นพื้นฐานที่ต้องใช้สนับสนุนการสอนได้ แน่นอนว่ามหาวิทยาลัยก็ไม่ได้ทำให้เรื่องนี้ง่ายขึ้น
      อีกความกังวลใหญ่ที่ผมมีต่อ Canvas คือความเป็นไปได้ที่เนื้อหาทั้งหมดที่อาจารย์อัปโหลดจะถูกนำไปใช้ฝึก AI มาทดแทนพวกเรา เพื่อนร่วมงานผมชอบพูดเล่นเชิงดำ ๆ เรื่องนี้ แต่แทบไม่เห็นการลงมือทำอะไรจริงจัง
    • ทุกวันนี้ดูเหมือนนักศึกษากับผู้ใช้ HN จะไม่ได้ทับซ้อนกันมากนัก เท่าที่รู้ผมน่าจะเป็นข้อยกเว้นที่ค่อนข้างหายาก :)
      ฝ่ายบริหารส่งอีเมลมาแค่ฉบับหนึ่งที่ขึ้นต้นว่า “Canvas แจ้งว่า” แล้วอีกชั่วโมงต่อมาก็ส่งอีเมลบอกว่า “Canvas หยุดให้บริการโดยไม่มีกำหนด” เพื่อแสดงว่าพวกเขารับรู้ความร้ายแรงแล้ว
      สำหรับคนที่ไม่รู้ Canvas ก็ใกล้เคียงกับวิกิสำหรับรายวิชาที่มีฟังก์ชันอย่างควิซเพิ่มเข้ามา
    • การสตรีมการสอนสดผ่าน Canvas ได้รับความนิยมมาก นักศึกษาจำนวนไม่น้อยแค่นั่งดูจากหอพัก
      เพราะงั้นอาจมีนักศึกษาที่ต้องกลับเข้าห้องเรียนจริงอีกครั้ง ซึ่งก็น่าดูอยู่เหมือนกัน วันแรกของคลาสห้องเรียนมักแน่นแทบไม่มีที่นั่ง บางครั้งถึงขั้นต้องยืน แต่หลังจากนั้นก็ลดลงเรื่อย ๆ จนคลาส 100 คนอาจเหลือมาเรียนจริงแค่ราว 10 คน
      ถ้า Canvas ยังไม่กลับมาเร็ว ความวุ่นวายในโลกจริงอาจหนักขึ้นเพราะเรื่องนี้ด้วย
    • ผมไม่เข้าใจว่า Canvas จะเข้าถึงได้ดีกว่า HTML กับ PDF อย่างไร
      จริงอยู่ว่าโปรแกรมอ่าน PDF ไม่ได้ดีที่สุดสำหรับ screen reader แต่ก็แค่อัปโหลดสำเนา .html ไปด้วยไม่ใช่หรือ

  • สำหรับบริษัทไหนก็ตาม การจ่ายค่าไถ่จาก ransomwareควรเป็นสิ่งผิดกฎหมาย ห้ามจ่ายเด็ดขาดโดยไม่มีข้อยกเว้น
    การลงโทษผู้โจมตีควรเชื่อมโยงกับระบบที่พวกเขาละเมิด ถ้าโจมตีโรงพยาบาลแล้วมีคนตาย ก็ควรถึงขั้นจำคุกตลอดชีวิตหรือโทษประหาร ขั้นต่ำต้องรุนแรงพอจะยับยั้งการโจมตีได้
    แน่นอนว่าแค่นี้ไม่พอ และบริษัทเองก็ควรต้องรับผิดชอบหากลงทุนด้านความปลอดภัยไม่เพียงพอ ทุกการโจมตีควรถูกสอบสวนว่าบริษัทนั้นปฏิบัติตามมาตรฐานอุตสาหกรรม แนวปฏิบัติที่ดีที่สุด และข้อกำหนดด้านบุคลากรที่ตกลงกันไว้หรือไม่ ถ้าไม่ผ่านก็ควรมีบทลงโทษเชิงลงทัณฑ์ตามมา

    • สิ่งที่ควรผิดกฎหมายคือการให้บริการที่ไม่ปลอดภัย โดยเฉพาะเมื่อจัดการข้อมูลส่วนบุคคล
      การละเมิดข้อมูลเกิดขึ้นซ้ำแล้วซ้ำเล่าแต่ไม่มีใครสนใจ เพราะอย่างมากสุดก็แค่เสียลูกค้าไปไม่กี่รายแล้วซื้อ “บริการติดตามเครดิต” ให้
      หลังเหตุการณ์แบบนี้ควรมีการตรวจสอบและการฟ้องร้อง ควรส่งผู้บริหารบริษัทเข้าคุกจากความล้มเหลวด้านความปลอดภัยที่เกิดจากความประมาท ถ้าเข้าคุกได้เพราะโกงบัญชี ก็ควรเข้าคุกได้เพราะโกหกเรื่องคำมั่นสัญญาด้านไซเบอร์ซีเคียวริตี
      พวกเขาอ้างว่าปฏิบัติตามมาตรฐานความปลอดภัยหลายรายการ https://www.instructure.com/en-au/trust-center/compliance
      ผมอยากเห็นว่าหลังเกิดเหตุ เมื่อตรวจสอบแล้วมีอะไรที่ถูกนำไปใช้จริงมากน้อยแค่ไหน
    • ผมคิดว่าเราควรไปโฟกัสกับการทำให้การส่งเงินไปหาอาชญากรต่างชาติทำได้ยากขึ้นไม่ใช่หรือ /หืม/ แพลตฟอร์มคริปโตที่ทำให้โอนเงินไปหาผู้ไม่หวังดีได้ /หืม/
    • เมื่อไรประเทศต่าง ๆ จะเริ่มถือว่าการโจมตีไซเบอร์เป็นการกระทำสงคราม
      ถ้าทหารเกาหลีเหนือบุกเข้ามาในสหรัฐแล้วปล้นทองมูลค่า 200 ล้านดอลลาร์จาก Fort Knox ก็คงมีการตอบโต้ แต่ถ้าได้เงินมูลค่าเท่ากันจากการแฮ็กบริษัทอเมริกัน รัฐบาลกลางกลับไม่ทำอะไรเลย
    • “โทษขั้นต่ำที่เจ็บปวด” ไม่น่าจะทำให้คนต่างชาติหรือรัฐบาลต่างชาติเลิกคิดทำได้แน่ ๆ
    • ถ้ามีคนปล้นธนาคารแล้วคนข้างในหัวใจวายตาย ก็เป็นfelony murder
      ผมอยากให้ใช้หลักการเดียวกันกับการโจมตี ransomware หรือการข่มขู่/ปล่อยข้อมูล ถ้ามีคนฆ่าตัวตายเพราะเรื่องนั้น ก็ควรนับเป็นการฆาตกรรม

  • ลูก ๆ ของผมกำลังอยู่กลางสัปดาห์สอบปลายภาค พังเละเทะไปหมด
    มหาวิทยาลัยไม่รู้อะไรเลย ส่วน Canvas ก็อ้างว่าอยู่ระหว่าง “scheduled maintenance” และมีอาจารย์บางคนบอกว่า “ไม่มีสำเนาเอกสารแบบออฟไลน์” ซึ่งดูประมาทมาก
    มีวิชายอดนิยมกลุ่มหนึ่งน่าจะต้องสอบบนกระดาษ ขณะที่กลุ่มอื่น ๆ ดูเหมือนจะได้สอบผ่าน Canvas ไปแล้วตั้งแต่เช้าวันนี้ ในรูปแบบอย่าง “รอบสองได้ครึ่งคะแนน”
    อีกนานแค่ไหนกว่าชื่อกับเกรดจะโผล่ใน data dump
    นี่ก็เหมือน TurboTax ในอเมริกาจู่ ๆ จะประกาศ “scheduled maintenance” ในวันที่ 14 เมษายน

    • คำว่า “Scheduled Maintenance” นี่เหลวไหลสิ้นดี และพูดตรง ๆ คือทำให้ Canvas ดูแย่ลงไปอีก
      ถ้าดูจาก status page นี่ก็คงนับว่าเป็น**uptime 99.996%**สินะ จำเอาไว้ให้ดี

  • มีเพื่อนสอนอยู่ที่ MIT แล้วโดนเรื่องนี้เหมือนกัน
    มันทั้งประชดประชันและน่าเศร้านิด ๆ ที่สถานที่อย่าง MIT กลับไม่มีบุคลากร IT สำหรับดูแลโซลูชันแบบ on-premises เพื่อจุดประสงค์แบบนี้
    แต่พอไปดูจริง ๆ ก็พบว่า MIT เคยมีระบบที่พัฒนาขึ้นเอง และเพิ่งย้ายมาใช้ Canvas ไม่นานนี้ ตอนนี้คงกำลังเสียดายอยู่
    ตลอด 10 ปีที่ผ่านมา เหมือนการตัดสินใจแบบสร้างเอง vs ซื้อเอนเอียงไปทางซื้อแรงเกินไปหน่อย ซึ่งก็น่าเสียดาย
    แน่นอนว่าองค์กรควรโฟกัสกับความสามารถหลักของตัวเอง และบางครั้งการเอางานที่ไม่ใช่แกนหลักออกไปให้ผู้ขายภายนอกก็เป็นเรื่องถูกต้อง แต่ทางเลือกนี้ก็มีข้อเสียเสมอ

    • ระบบที่พัฒนาขึ้นเองมีต้นทุนดูแลรักษาสูง และโดยทั่วไปก็มักตามตัวเลือกเชิงพาณิชย์ในตลาดปัจจุบันไม่ทัน
      ระบบ LMS เองก็เป็นซอฟต์แวร์ที่ซับซ้อนมาก ผมเคยมีส่วนร่วมกับเวอร์ชันที่มหาวิทยาลัยผมทำเองตอนปริญญาตรี
    • ผมเริ่มอาชีพเทคในภาคการศึกษา เลยไม่แปลกใจเลย
      คนสาย IT ที่มีความทะเยอทะยานและมีฝีมือมักไม่อยู่ในวงการการศึกษานานนัก ค่าจ้างต่ำมากเมื่อเทียบกับภาคอุตสาหกรรม
      ที่ทำงานเก่าของผมมีระบบบำนาญสบาย ๆ หลังทำงานครบจำนวนปี ดังนั้นพนักงาน IT จึงพยายามเอาทุกอย่างไปจ้างคนนอกให้มากที่สุด เพื่อไม่ต้องเสี่ยงอะไรกับเงินเกษียณของตัวเอง ปัญหาทั้งหมดก็โยนให้คอนซัลแทนต์ และทำงานให้น้อยที่สุด
      มันคือสถานที่ที่ความฝันตายอย่างแท้จริง
      MIT มีชื่อเสียงเรื่องอาจารย์และนักศึกษาที่ยอดเยี่ยม แต่ท้ายที่สุดการบริหารมหาวิทยาลัยก็เป็นงานค่อนข้างมาตรฐาน ไม่ได้ต้องใช้ร็อกสตาร์อัจฉริยะมาดูแลเซิร์ฟเวอร์แพลตฟอร์มการสอนหรอก

  • ผมเป็นนักศึกษาที่ Stanford และเหตุขัดข้องครั้งนี้กระทบทั้งมหาวิทยาลัยหนักมาก
    ต่างจากมหาวิทยาลัยฝั่งตะวันออกอย่าง Brown, Harvard, MIT เราใช้ระบบquarter เลยเพิ่งจบสอบกลางภาคกันไป
    โชคดีที่ภาควิชา CS ของเราแยกขาดจาก Canvas โดยสิ้นเชิง แต่รายวิชาสายมนุษยศาสตร์ของผมส่วนใหญ่ไม่เป็นแบบนั้น
    วิชาประวัติศาสตร์ศิลป์วิชาหนึ่งให้อัปโหลดงานกลางภาคลงโฟลเดอร์ Google Drive ส่วนอีกวิชาหนึ่งหยุดควิซรายสัปดาห์ไปเลย
    เรื่องนี้ทำให้เห็นชัดว่านักศึกษาและอาจารย์พึ่งพา Canvas มากแค่ไหน และจากมุมมองนักศึกษา ผมหวังว่ามันจะจุดประกายการคุยกันใหม่เรื่องการออกจากแพลตฟอร์มที่เดิมก็ไม่ได้ดีอยู่แล้วนี้

    • การที่ ShinyHunters ลงมาถึงขั้นเล่นงานนักศึกษาและคนหนุ่มสาวหัวกะทิของอเมริกา มันเหมือนข้ามเส้นไปจริง ๆ
      เล็งเป้าบริษัทอย่างหนึ่ง แต่ไปยุ่งกับนักศึกษานี่อีกอย่าง นักศึกษาควรถูกปล่อยไว้เฉย ๆ

  • การตอบสนองของ Canvas แย่มาก ไม่มีการสื่อสาร และไม่มีอัปเดตสถานะ
    ดูเหมือนทั้งแพลตฟอร์มจะถูกเจาะไปแล้ว และการที่ยังไม่มีรายงานจริงจังแม้แต่ฉบับเดียวเกี่ยวกับเหตุละเมิดความปลอดภัยที่เกิดขึ้นแล้ว ก็ยิ่งดูไม่ดีมาก
    เมื่อโรงเรียนส่วนใหญ่ในสหรัฐกำลังสอบปลายภาคกันอยู่ ก็สงสัยว่าจะใช้เวลานานแค่ไหนกว่าการผิด SLA และคดีฟ้องร้องจะเริ่มตามมา

    • ผมเคยติดต่อทำงานกับ Canvas/Instructure เยอะอยู่ เทคโนโลยีก็พอใช้ได้
      แต่วัฒนธรรมองค์กรดูเหมือนจะเต็มไปด้วยความหยิ่งในสถานะทางการตลาดของตัวเอง

  • เมื่อก่อนมหาวิทยาลัยหลายแห่งใช้ระบบนักศึกษาที่พัฒนาเองหรือรันแบบ on-premises
    นี่คือข้อเสียของการรวมศูนย์บนคลาวด์ ถ้าโครงสร้างพื้นฐานถูกเจาะ ก็ไม่ได้กระทบแค่การติดตั้งรายบุคคลหนึ่งหรือสองแห่ง แต่กระทบทุกคน
    ก็สงสัยเหมือนกันว่าตอนนี้พวกเขารู้สึกอย่างไรกับการตัดสินใจนั้น แต่อย่างน้อยคงสบายใจกว่าเพราะยังพูดได้ว่า “ไม่ใช่ความผิดของเรา” ซึ่งถ้าเป็นช่องโหว่ในระบบที่ทำเองก็คงพูดไม่ได้

    • ถ้าพบช่องโหว่ในซอฟต์แวร์ แฮ็กเกอร์ก็อาจโจมตีระบบที่ติดตั้งแยกกันหลายร้อยแห่งแบบอัตโนมัติได้ง่ายพอกัน
      ขึ้นอยู่กับช่องโหว่ว่าในบางกรณีอาจยิ่งง่ายกว่า ถ้าผู้ดูแล on-premises ไม่ได้ใช้มาตรการความปลอดภัยที่แนะนำครบถ้วน
      จริง ๆ สิ่งที่ผมสงสัยมากกว่าคือ Instructure มีความรับผิดทางการเงินในเรื่องนี้หรือไม่ ความล้มเหลวเชิงเทคนิคเกิดที่ฝั่ง Instructure แต่คำขู่เรียกค่าไถ่กลับส่งไปที่มหาวิทยาลัย ซึ่งน่าสนใจดี
      ผมคุ้นกับ SLA เรื่อง uptime แต่ SLA เรื่องการละเมิดความปลอดภัยจะเป็นอย่างไร
    • ถ้ามหาวิทยาลัยใช้เวลาและเงินสร้างระบบเองแล้วถูกแฮ็ก มันก็คงเป็นความผิดของมหาวิทยาลัยเอง
      ตอนนี้พวกเขาสามารถลุกออกจากโต๊ะได้เหมือนดีลเลอร์แบล็กแจ็กที่ตบมือแล้วแบมือให้ดู โดยไม่ต้องรับผิดอะไรเลย นี่อาจเป็นหนึ่งในข้อดีใหญ่สุดของการไม่สร้างเองแต่ใช้ผลิตภัณฑ์คนอื่น
    • วิธีนี้ก็ยังปลอดภัยกว่าอยู่ดี โดยเฉพาะเมื่อมีการแฮ็กด้วย AIที่ทำให้การหวังพึ่งความคลุมเครือทำได้ยากขึ้นเรื่อย ๆ
      การมีอีกฝ่ายไว้ให้โทษได้ และการที่ทุกคนล่มพร้อมกันเมื่อจะล่ม ก็มีคุณค่าในตัวมันเอง

  • ตอนผมเป็นนักเรียนมัธยมราวปี 2016 หรือ 2017 ผมเคยเจอXSSง่าย ๆ มากในฟอร์มส่งการบ้าน แล้วไปบอกครูสอนเขียนโปรแกรม
    หลังจากนั้น Canvas ก็ล็อกบัญชีผม และทำให้ผมโดนกักบริเวณหลังเลิกเรียนครั้งแรกและอาจครั้งเดียวในชีวิต ช่างเป็นช่วงเวลาที่ดีจริง ๆ

    • ในทำนองเดียวกัน ซอฟต์แวร์บล็อกของโรงเรียนบล็อก YouTube กับ embed ต่าง ๆ แต่ยอมให้ผ่านถ้ามาจาก Canvas
      การปิดตัวแก้ไข HTML ในคอมเมนต์กระทู้ถือว่าฉลาด แต่พวกเขาดันลืมไปว่ามี rich text editor อยู่ ดังนั้นถ้าใส่โค้ดลงใน data:text/html แล้วคัดลอกองค์ประกอบนั้นมาเป็น HTML แบบมีรูปแบบ ก็สามารถวาง embed ได้ทั้งดุ้น
      ผมยังลองชุดตัวอย่าง XSS ของ DOMPurify ทั้งชุด และเจอวิธีหนึ่งที่ทำให้ดาวน์โหลดเนื้อหาแบบกำหนดเองไปยังคอมพิวเตอร์ของใครสักคนได้
    • คุณได้เอาช่องโหว่นั้นไปใช้จริงก่อนแล้วค่อยบอกครูหรือเปล่า

  • ถ้ามีใครรู้เรื่องภายใน ผมสงสัยว่า Parchment ได้รับผลกระทบไปด้วยหรือเปล่า
    Instructure ซื้อกิจการไปเมื่อไม่กี่ปีก่อน และมันจัดการทรานสคริปต์จำนวนมหาศาลมาก
    แก้ไข: https://status.parchment.com/ ระบุว่า “ขณะนี้ Canvas, Canvas Beta และ Canvas test ไม่พร้อมใช้งาน แต่เรากำลังติดตามสภาพแวดล้อมของผลิตภัณฑ์อื่นทั้งหมดพร้อมกัน รวมถึง Parchment ด้วย ณ ตอนนี้เราไม่มีเหตุให้เชื่อว่าทรัพยากรของ Parchment ได้รับผลกระทบ”