Hacker rouba dados de 280 milhões de estudantes e professores de 8.800 escolas via sistema Canvas
Um dos maiores vazamentos de dados do setor educacional foi confirmado nesta semana. O grupo de extortion ShinyHunters assumiu a responsabilidade por um ataque à Instructure, empresa responsável pela plataforma Canvas LMS (Learning Management System), utilizada por milhares de instituições de ensino ao redor do mundo. Os hackers afirmam ter roubado aproximadamente 280 milhões de registros de estudantes, professores e funcionários de 8.809 escolas e universidades.
A magnitude do vazamento
Os dados comprometidos incluem informações extremamente sensíveis, como nomes completos, endereços de e-mail, números de identificação de estudantes e até mensagens privadas trocadas dentro da plataforma Canvas. A quantidade total de dados roubados é estimada em centenas de gigabytes, tornando este incidente um dos maiores vazamentos de dados do setor educacional já registrados na história. O ataque foi realizado explorando recursos nativos de exportação de dados do Canvas, incluindo DAP queries, provisioning reports e user APIs, o que permitiu aos invasores acessar informações em massa sem necessidade de explorar vulnerabilidades tradicionais.
Instituições afetadas alertam seus usuários
Universidades de grande porte já emitiram alertas oficiais sobre o incidente. A University of Colorado Boulder, a Rutgers University e a Tilburg University (Holanda) estão entre as instituições que notificaram seus estudantes e funcionários sobre o vazamento. A Instructure, por sua vez, confirmou que está investigando o incidente e trabalhando com autoridades competentes para avaliar a extensão dos danos. A empresa também recomendou que todas as instituições clientes alterassem senhas e implementassem medidas adicionais de segurança em suas contas.
O modus operandi dos invasores
O grupo ShinyHunters é conhecido no cenário de cibercrime por praticar extortion após vazamentos de dados. Após roubar informações sensíveis, o grupo tipicamente exige pagamentos das vítimas ou das empresas afetadas para evitar a publicação dos dados roubados. No caso do ataque à Instructure, os invasores conseguiram explorar a própria funcionalidade de exportação de dados da plataforma, que foi projetada para permitir que administradores de instituições educacionais exportassem relatórios de uso e dados de usuários para fins legítimos de gestão acadêmica.
Impacto e desdobramentos esperados
Este vazamento levanta sérias questões sobre as práticas de segurança de empresas que processam dados de milhões de estudantes e profissionais da educação. A exposição de informações pessoais de centenas de milhões de pessoas pode resultar em riscos significativos de phishing, roubo de identidade e ataques de engenharia social direcionados. Especialistas em segurança cibernética recomendam que todos os usuários da plataforma Canvas que possam ter sido afetados permaneçam vigilantes quanto a e-mails suspeitos e evitem compartilhar informações pessoais online nas próximas semanas.