Les législateurs américains demandent aux représentants d’Instructure, le fabricant de logiciels éducatifs piraté à deux reprises, de témoigner de la réponse de l’entreprise aux cyberattaques qui ont permis aux pirates informatiques de voler les données personnelles de millions d’étudiants dans le monde.
Le comité de la sécurité intérieure de la Chambre enquête sur les piratages et la violation des données du gouvernement, car il a compétence sur les activités liées à la sécurité intérieure, a écrit le président du comité, le représentant Andrew Garbarino, dans une lettre adressée au directeur général de l’infrastructure, Steve Daly. L’agence américaine de cybersécurité CISA a été appelée pour aider à résoudre l’incident.
Le comité demande le témoignage de Daly pour expliquer comment les pirates informatiques ont pénétré à plusieurs reprises dans les systèmes d’Instructure et pour divulguer les types de données qui ont été récupérées, a déclaré Garbarino dans la lettre, qui cite les rapports de TechCrunch. La lettre indique également que les législateurs souhaitent savoir comment l’entreprise répond aux attaques, avertit les écoles concernées et cherche à examiner l’adéquation de sa coordination avec la CISA.
Instructure, qui fabrique le populaire logiciel de portail d’informations scolaires Canvas, a été critiqué pour sa réponse aux attaques, en particulier après avoir admis que les pirates avaient abusé de la même vulnérabilité pour voler des quantités de données sensibles sur les étudiants, puis dégrader les pages de connexion de l’école.
La société a confirmé cette semaine avoir « conclu un accord » avec les pirates informatiques et a affirmé que les pirates avaient fourni la preuve qu’ils avaient supprimé les données volées. Un représentant des pirates de ShinyHunters a déclaré à TechCrunch qu’ils ne continueraient pas à extorquer l’entreprise ou ses clients, mais a refusé de dire combien l’entreprise avait payé en rançon.
Les experts en sécurité soutiennent depuis longtemps que les pirates payants ne servent qu’à financer de futures attaques. Il est connu que les pirates conservent les données volées même après avoir prétendu les avoir supprimées, souvent dans l’espoir d’extorquer à nouveau leurs victimes.
Garbarino a déclaré que la deuxième violation par les mêmes pirates informatiques soulevait « de sérieuses questions sur les capacités de réponse aux incidents de l’entreprise et sur ses obligations envers les institutions et les individus dont elle détient les données ».
« L’ampleur et le calendrier de la violation d’Instructure, ainsi que l’incapacité démontrée d’un fournisseur majeur de technologies éducatives à contenir un acteur menaçant après une première intrusion, sont précisément le type de vulnérabilités systémiques que ce comité a la responsabilité d’examiner », a écrit Garbarino dans la lettre.
Instructure n’a pas encore dit si elle répondrait à la lettre ou si Daly – ou quiconque est responsable de la cybersécurité dans l’entreprise – témoignerait.
Le porte-parole de l’infrastructure, Brian Watkins, n’a pas répondu mercredi à la demande de commentaires de TechCrunch.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
