La società di tecnologia educativa Instructure ha confermato una violazione dei dati che riguarda i suoi sistemi, dopo che il gruppo di cybercrimini ShinyHunters ha rivendicato la responsabilità e minacciato di far trapelare dati rubati.
L’azienda, nota soprattutto per il suo sistema di gestione dell’apprendimento Canvas utilizzato da scuole e università in tutto il mondo, ha rivelato che gli attaccanti hanno ottenuto accesso non autorizzato ai sistemi interni ed estrasso dati degli utenti.
Secondo Instructure, le informazioni compromesse includono nomi, indirizzi email e numeri di identificazione degli studenti, insieme a contenuti generati dagli utenti come messaggi scambiati all’interno della piattaforma. L’azienda ha dichiarato di non aver trovato alcuna prova che password, dati finanziari o identificatori rilasciati dal governo siano stati esposti.
La violazione ha scatenato interruzioni del servizio, spingendo Instructure a revocare i token di accesso, disattivare i sistemi interessati e implementare ulteriori controlli di monitoraggio e sicurezza durante le indagini sull’incidente.
Il gruppo ShinyHunters ha dichiarato un impatto significativamente maggiore rispetto a quanto confermato pubblicamente. Secondo gli aggressori, potrebbero essere stati consultati dati provenienti da fino a 275 milioni di individui e quasi 9.000 istituzioni educative, incluse comunicazioni private tra studenti ed educatori. Questi dati non sono stati verificati in modo indipendente.
L’incidente sembra far parte di una campagna più ampia rivolta alle piattaforme cloud e SaaS. Gli analisti di sicurezza osservano che gli attacchi attribuiti a ShinyHunter spesso si basano su furto di credenziali, ingegneria sociale o dirottamento di token per accedere ai sistemi aziendali, piuttosto che sfruttare direttamente vulnerabilità software.
Non è la prima volta che Instructure affronta un incidente di sicurezza. L’azienda aveva già reso luce una violazione legata ad attacchi di social engineering nel 2025, anch’essa associata allo stesso gruppo di minaccia, evidenziando i rischi persistenti per le piattaforme che gestiscono grandi volumi di dati educativi.
Gli esperti avvertono che anche dataset limitati, come nomi, email e comunicazioni interne, possono essere sfruttati per campagne di phishing, impersonificazione e di social engineering mirate. L’inclusione di contenuti dei messaggi aumenta ulteriormente la potenziale esposizione fornendo un contesto che gli attaccanti possono sfruttare.
L’indagine è ancora in corso, con Instructure che continua a valutare l’entità della violazione e a monitorare eventuali segni di uso improprio o pubblicazione dei dati.