Os legisladores da Câmara dos EUA estão exigindo que representantes da Instructure, fabricante de software educacional que foi hackeada duas vezes, testemunhem sobre a resposta da empresa aos ataques cibernéticos que permitiram que hackers roubassem os dados pessoais de milhões de estudantes em todo o mundo.

O Comitê de Segurança Interna da Câmara está investigando os hacks e a violação de dados, pois tem jurisdição sobre as atividades governamentais relacionadas à segurança interna, escreveu o presidente do comitê, deputado Andrew Garbarino, em uma carta para o presidente-executivo da Instructure, Steve Daly. A agência de segurança cibernética dos EUA, CISA, foi chamada para ajudar no incidente.

O comitê busca o testemunho de Daly para abordar como hackers invadiram repetidamente os sistemas da Instructuree divulgar os tipos de dados que foram obtidos, disse Garbarino na carta, que cita relatórios do TechCrunch. A carta também diz que os legisladores querem saber como a empresa está respondendo aos ataques e notificando as escolas afetadas, e procuram examinar a adequação da sua coordenação com a CISA.

A Instructure, que fabrica o popular software de portal de informações escolares Canvas, tem enfrentado críticas por sua resposta aos ataques, especialmente depois de admitir que os hackers abusaram da mesma vulnerabilidade para roubar resmas de dados confidenciais dos alunos e, posteriormente, desfigurar páginas de login da escola.

A empresa confirmou esta semana que “chegou a um acordo” com os hackerse alegou que os hackers forneceram evidências de que haviam excluído os dados roubados. Um representante dos hackers ShinyHunters disse ao TechCrunch que eles não continuariam a extorquir a empresa ou seus clientes, mas se recusou a dizer quanto a empresa pagou como resgate.

Especialistas em segurança argumentam há muito tempo que pagar hackers apenas serve para financiar ataques futuros. Os hackers são conhecidos por reter dados roubados mesmo depois de alegarem tê-lo excluído, muitas vezes na esperança de extorquir as vítimas novamente.

Garbarino disse que a segunda violação pelos mesmos hackers levanta “sérias questões sobre as capacidades de resposta a incidentes da empresa e suas obrigações para com as instituições e indivíduos cujos dados ela detém”.

“A escala e o momento da violação da Inestrutura, e a incapacidade demonstrada de um grande fornecedor de tecnologia educacional de conter um ator ameaçador após uma intrusão inicial, são precisamente o tipo de vulnerabilidades sistêmicas que este Comitê tem a responsabilidade de examinar”, escreveu Garbarino na carta.

A Instructure ainda não disse se responderá à carta ou se Daly – ou quem quer que seja o responsável pela segurança cibernética da empresa – testemunhará.

O porta-voz da Instructure, Brian Watkins, não respondeu ao pedido de comentários do TechCrunch na quarta-feira.