يطالب المشرعون في مجلس النواب الأمريكي ممثلي شركة Instructure، وهي شركة تصنيع برمجيات تعليمية تعرضت للهجوم مرتين من قبل قراصنة، بالإدلاء بشهادتهم حول رد الشركة على الهجمات الإلكترونية التي سمحت للقراصنة بسرقة المعلومات الشخصية لملايين الطلاب حول العالم.
وكتب رئيس اللجنة النائب أندرو جاربارينو أن لجنة الأمن الداخلي بمجلس النواب تحقق في عمليات الاختراق وخروقات البيانات لأنها تتمتع بسلطة قضائية على الأنشطة الحكومية المتعلقة بالأمن الداخلي. خطاب لإرشاد الرئيس التنفيذي ستيف دالي. وتم استدعاء وكالة الأمن السيبراني الأمريكية CISA للمساعدة في الحادث.
وقال جاربارينو في الرسالة نقلاً عن تقارير TechCrunch، إن اللجنة تسعى للحصول على شهادة دالي لشرح كيفية قيام المتسللين بانتهاك أنظمة Instructure بشكل متكرر والكشف عن أنواع البيانات التي تم أخذها. وقالت الرسالة أيضًا إن المشرعين يريدون معرفة كيفية استجابة الشركة للهجمات وإخطار المدارس المتضررة، ويسعون إلى فحص ما إذا كان تنسيقها مع CISA كافيًا.
وقد واجهت Instructure، التي تصنع برنامج بوابة معلومات المدرسة Canvas الشهير، انتقادات بسبب استجابتها للهجمات، خاصة بعد أن اعترفت بأن المتسللين استغلوا نفس الثغرة الأمنية لسرقة كميات كبيرة من بيانات الطلاب الحساسة ثم تشويه صفحات تسجيل الدخول إلى المدرسة لاحقًا.
وأكدت الشركة هذا الأسبوع أنها “توصلت إلى اتفاق” مع المتسللين وادعت أن المتسللين قدموا أدلة على أنهم حذفوا البيانات المسروقة. صرح ممثل عن قراصنة ShinyHunters لـ TechCrunch أنهم لن يستمروا في ابتزاز الأموال من الشركة أو عملائها، لكنه رفض تحديد المبلغ الذي دفعته الشركة كفدية.
لقد جادل خبراء الأمن منذ فترة طويلة بأن الدفع للمتسللين لا يؤدي إلا إلى تمويل الهجمات المستقبلية. من المعروف أن المتسللين يحتفظون بالبيانات المسروقة حتى بعد ادعائهم بحذفها، غالبًا على أمل خداع الضحايا مرة أخرى.
وقال جاربارينو إن الاختراق الثاني من قبل نفس المتسللين يثير “تساؤلات جدية حول قدرة الشركة على الاستجابة للحوادث والتزاماتها تجاه المؤسسات والأفراد الذين تخزن بياناتهم”.
وكتب جاربارينو في الرسالة: “إن حجم وتوقيت اختراق البنية التحتية وعدم القدرة الواضحة لمزود رئيسي للتكنولوجيا التعليمية على احتواء ممثل التهديد بعد الاختراق الأولي هو بالضبط نوع نقاط الضعف النظامية التي يتعين على اللجنة التحقيق فيها”.
لم تذكر Instructure بعد ما إذا كانت سترد على الرسالة أو ما إذا كان دالي – أو أي شخص مسؤول عن الأمن السيبراني في الشركة – سيدلي بشهادته.
ولم يستجب المتحدث باسم البنية التحتية بريان واتكينز لطلب TechCrunch للتعليق يوم الأربعاء.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
