Gli hacker hanno pubblicato una vasta lista di istituzioni educative presumibilmente colpite dalla crescente violazione dati del Canvas LMS, con nomi come Harvard University, MIT, Oxford University e migliaia di scuole in diversi paesi.
La fuga di notizie è legata al gruppo di cybercriminalità ShinyHunters, che sostiene di aver violato sistemi collegati a Canvas, la piattaforma di gestione dell’apprendimento ampiamente utilizzata sviluppata da Instructure. Gli aggressori sostengono che l’incidente colpisca quasi 9.000 istituzioni e fino a 275 milioni di persone in tutto il mondo.
Secondo i fascicoli pubblicati dal gruppo, circa 8.809 organizzazioni educative compaiono nella lista delle vittime trapelate. Le istituzioni si estendono in almeno 10 paesi, la maggior parte delle quali si trova negli Stati Uniti, seguita da Australia, Regno Unito e parti d’Europa.
Tra le organizzazioni presumibilmente colpite ci sono università riconosciute a livello globale, tra cui Harvard, Oxford, MIT, Princeton e l’Università della Pennsylvania. L’elenco contiene anche scuole superiori, istituzioni professionali e diverse entità aziendali ritenute utilizzano Canvas per programmi di formazione dei dipendenti.
ShinyHunters sostiene che la violazione abbia messo in luce grandi volumi di dati educativi sensibili, inclusi nomi, indirizzi email, numeri di tessera degli studenti e miliardi di messaggi privati scambiati tra studenti, insegnanti e amministratori tramite la piattaforma.
Instructure ha confermato un incidente di cybersecurity che coinvolge Canvas, ma non ha verificato la portata delle affermazioni degli attaccanti. L’azienda ha dichiarato che le informazioni esposte potrebbero includere dati identificativi e comunicazioni degli utenti, anche se attualmente non ci sono prove che password, dati finanziari, date di nascita o identificatori rilasciati dal governo siano stati compromessi.
L’azienda ha inoltre dichiarato di aver revocato credenziali privilegiate, ruotato le chiavi di sicurezza, patchato i sistemi interessati e aumentato il monitoraggio, lavorando con specialisti forensi esterni per indagare sull’incidente.
La violazione ha suscitato preoccupazione in tutto il settore dell’istruzione perché Canvas è uno dei sistemi di gestione dell’apprendimento più utilizzati al mondo. Oltre il 40% dei college e delle università si affida alla piattaforma per corsi, compiti, messaggi e gestione digitale della classe.
Diverse università e scuole nel mondo hanno già riconosciuto di aver ricevuto notifiche relative all’incidente. Istituti educativi in Australia, Svezia e altri paesi hanno confermato di valutare la potenziale esposizione che coinvolge dati su studenti e personale.
Le autorità e gli amministratori scolastici sono particolarmente preoccupati per la possibile esposizione di comunicazioni private all’interno degli ambienti educativi. I ricercatori avvertono che conversazioni trapelate, indirizzi email e registri istituzionali potrebbero essere sfruttati in attacchi di phishing, campagne di furto d’identità o operazioni di ingegneria sociale mirate.
L’incidente mette anche in evidenza i crescenti rischi di cybersecurity che affrontano le istituzioni educative. Università e scuole sono diventate bersagli sempre più attraenti per i gruppi di cybercriminali perché conservano grandi quantità di dati personali, operando spesso con ambienti IT frammentati e risorse di sicurezza limitate.
ShinyHunters è emerso come uno dei gruppi di cybercriminalità più attivi focalizzati sull’estorsione negli ultimi anni, prendendo di mira ripetutamente servizi cloud, fornitori SaaS, università e piattaforme aziendali. Il gruppo è stato precedentemente collegato a violazioni che hanno colpito ambienti Salesforce, aziende di telecomunicazioni, istituzioni finanziarie e agenzie governative.
I ricercatori affermano che il gruppo combina spesso il furto di dati con tattiche di estorsione pubblica, minacciando di far trapelare informazioni rubate a meno che le vittime non accettino le trattative. In molti casi, gli aggressori pubblicano nomi delle vittime o dataset parziali per aumentare la pressione e attirare l’attenzione dei media.
L’incidente di Canvas sembra rientrare in questo schema. ShinyHunters ha continuato a diffondere ulteriori informazioni relative alla violazione, inclusi elenchi di istituzioni presumibilmente colpite, avvertendo al contempo le organizzazioni di contattare il gruppo prima che ulteriori dati vengano resi pubblici.
Gli analisti di sicurezza affermano che la vera portata della violazione rimane incerta perché la verifica indipendente delle affermazioni degli attaccanti è ancora in corso. Tuttavia, se i dati forniti da ShinyHunters si rivelassero accurati, l’incidente potrebbe diventare una delle più grandi violazioni dati nel settore educativo mai registrate.