La société de technologie éducative Instructure a confirmé une fuite de données affectant ses systèmes, après que le groupe de cybercriminalité ShinyHunters a revendiqué la responsabilité et menacé de divulguer des données volées.
L’entreprise, surtout connue pour son système de gestion de l’apprentissage Canvas utilisé par les écoles et universités du monde entier, a révélé que les attaquants avaient obtenu un accès non autorisé aux systèmes internes et exfiltré les données des utilisateurs.
Selon Instructure, les informations compromises incluent des noms, des adresses e-mail et des numéros d’identification étudiante, ainsi que du contenu généré par les utilisateurs tels que des messages échangés sur la plateforme. L’entreprise a déclaré qu’elle n’avait trouvé aucune preuve que des mots de passe, des données financières ou des identifiants émis par le gouvernement aient été exposés.
La faille a provoqué des perturbations de service, poussant Instructure à révoquer les jetons d’accès, désactiver les systèmes affectés et déployer des contrôles de surveillance et de sécurité supplémentaires lors de l’enquête sur l’incident.
Le groupe ShinyHunters a revendiqué un impact nettement plus important que ce qui a été confirmé publiquement. Selon les attaquants, des données provenant de jusqu’à 275 millions de personnes et près de 9 000 établissements d’enseignement pourraient avoir été consultées, y compris des communications privées entre étudiants et enseignants. Ces chiffres n’ont pas été vérifiés de manière indépendante.
L’incident semble faire partie d’une campagne plus large ciblant les plateformes cloud et SaaS. Les analystes de la sécurité notent que les attaques attribuées aux ShinyHunters reposent souvent sur le vol de titres, l’ingénierie sociale ou le détournement de tokens pour accéder aux systèmes d’entreprise plutôt que d’exploiter directement les vulnérabilités logicielles.
Ce n’est pas la première fois qu’Instructure fait face à un incident de sécurité. L’entreprise avait déjà révélé une violation liée à des attaques d’ingénierie sociale en 2025, également associée au même groupe de menace, mettant en lumière les risques persistants pour les plateformes gérant de grands volumes de données éducatives.
Les experts avertissent que même des ensembles de données limités, tels que les noms, les e-mails et les communications internes, peuvent être utilisés pour le phishing, l’usurpation d’identité et des campagnes ciblées d’ingénierie sociale. L’inclusion du contenu des messages augmente encore l’exposition potentielle en fournissant un contexte que les attaquants peuvent exploiter.
L’enquête est toujours en cours, Instructure poursuivant l’évaluation de l’ampleur de la violation et surveillant tout signe d’utilisation abusive ou de publication des données.