3.65TB dữ liệu từ hàng nghìn trường học và đại học trên toàn cầu vừa thoát khỏi nguy cơ bị công khai trên dark web. Instructure, công ty mẹ của nền tảng học tập Canvas được sử dụng bởi hơn 30 triệu người dùng, đã thừa nhận 'đạt được thỏa thuận' với nhóm tội phạm mạng ShinyHunters. Đây là một trong những vụ tấn công ransomware nghiêm trọng nhất từ trước đến nay nhắm vào lĩnh vực giáo dục, khi mà các trường học đang ngày càng phụ thuộc vào công nghệ số.

Khi nhóm tội phạm 'đàm phán' với doanh nghiệp tỷ đô

ShinyHunters, nhóm tội phạm mạng khét tiếng đã từng tấn công Microsoft, AT&T và hàng loạt tập đoàn lớn khác, đã xâm nhập thành công vào hệ thống của Instructure và đánh cắp khối lượng dữ liệu khổng lồ. Công ty có trụ sở tại Utah này ban đầu cố gắng giấu giếm sự việc, chỉ thông báo về 'sự cố bảo mật' mà không tiết lộ chi tiết. Tuy nhiên, áp lực từ việc ShinyHunters đe dọa công khai toàn bộ dữ liệu đã buộc họ phải 'nhượng bộ'.

Thuật ngữ 'thỏa thuận' mà Instructure sử dụng trong thông báo chính thức thực chất là cách nói khéo léo để tránh thừa nhận việc trả tiền chuộc (ransom payment). Chúng tôi cho rằng đây là chiến thuật truyền thông nhằm giảm thiểu tác động tiêu cực đến hình ảnh công ty, đồng thời tránh các vấn đề pháp lý có thể phát sinh khi công khai việc tài trợ cho hoạt động tội phạm mạng. Tuy nhiên, thực tế cho thấy rất ít công ty có thể 'thỏa thuận' với các nhóm ransomware mà không phải chi trả khoản tiền nào.

Dữ liệu giáo dục - mỏ vàng mới của tội phạm mạng

Canvas hiện được sử dụng tại hơn 6.000 trường học và đại học trên toàn cầu, lưu trữ thông tin cá nhân của hàng triệu sinh viên, giáo viên và phụ huynh. Dữ liệu bị đánh cắp không chỉ bao gồm thông tin đăng nhập, mà còn có điểm số, bài tập, trao đổi riêng tư và các tài liệu học tập nhạy cảm. ShinyHunters đã chứng minh khả năng của mình bằng cách công bố một số mẫu dữ liệu trên các diễn đàn underground, khiến Instructure không còn lựa chọn nào khác.

Theo thống kê của chúng tôi, các cuộc tấn công nhắm vào lĩnh vực giáo dục đã tăng 74% trong năm 2024, chủ yếu do hạ tầng bảo mật yếu kém và ngân sách hạn chế cho an ninh mạng. Dữ liệu giáo dục đặc biệt có giá trị trên thị trường chợ đen vì chứa thông tin của trẻ vị thành niên - mục tiêu dễ bị tổn thương và ít có khả năng phát hiện gian lận tài chính. Một hồ sơ sinh viên đầy đủ có thể được bán với giá từ 50-200 USD trên dark web.

Tác động domino từ một quyết định gây tranh cãi

Việc Instructure quyết định 'thỏa thuận' với ShinyHunters đã tạo ra tiền례 nguy hiểm cho toàn ngành giáo dục. Các chuyên gia an ninh mạng cảnh báo rằng điều này sẽ khuyến khích các nhóm tội phạm khác gia tăng tấn công vào các trường học, với kỳ vọng sẽ được chi trả tương tự. FBI và các cơ quan thực thi pháp luật quốc tế luôn khuyến cáo không nên trả tiền chuộc vì điều này chỉ nuôi dưỡng thêm hoạt động tội phạm.

Tại Việt Nam, hàng trăm trường đại học và cao đẳng đang sử dụng các nền tảng học tập trực tuyến tương tự Canvas, nhưng với mức độ bảo mật còn nhiều hạn chế. Theo báo cáo của Cục An toàn thông tin, 60% các trường học Việt Nam chưa có kế hoạch ứng phó ransomware cụ thể, tạo ra lỗ hổng nghiêm trọng có thể bị khai thác.

Lá chắn phòng thủ cho các tổ chức giáo dục

Các trường học cần triển khai ngay các biện pháp bảo vệ cơ bản sau đây. Đầu tiên, thiết lập hệ thống sao lưu dữ liệu offline (air-gapped backup) với tần suất ít nhất mỗi ngày và kiểm tra khả năng phục hồi hàng tháng. Tiếp theo, triển khai xác thực đa yếu tố (Multi-Factor Authentication - MFA) cho tất cả tài khoản quản trị và giảng viên, đồng thời cập nhật bảo mật cho tất cả phần mềm và hệ điều hành.

Quan trọng không kém, các trường cần tổ chức đào tạo nhận thức an ninh mạng cho toàn bộ nhân viên và sinh viên, tập trung vào cách nhận biết email phishing và các kỹ thuật social engineering phổ biến. Chúng tôi khuyến nghị nên thiết lập kế hoạch ứng phó sự cố chi tiết, bao gồm cả kịch bản bị tấn công ransomware, với quy trình báo cáo rõ ràng và danh sách liên hệ khẩn cấp. Việc đầu tư vào an ninh mạng tuy tốn kém nhưng sẽ rẻ hơn nhiều so với việc phải 'thỏa thuận' với tội phạm mạng.