A proprietária do Canvas, Instructure, confirmou que pagou hackers após o enorme ataque cibernético que desestabilizou escolas e universidades durante a semana de provas finais e expôs preocupações sobre dados de estudantes potencialmente roubados.
O ataque, reivindicado pelo grupo de crimes cibernéticos ShinyHunters, causou quedas generalizadas na plataforma de gestão de aprendizagem Canvas no início deste mês, impedindo estudantes e professores de ter acesso a trabalhos acadêmicos, tarefas, materiais de aula e provas em milhares de instituições ao redor do mundo.
Em um public statement , a Instructure reconheceu que entrou em negociações com os atacantes e, por fim, pagou a exigência de resgate para impedir a publicação de dados roubados. A empresa afirmou que a decisão foi tomada após consultar especialistas em cibersegurança e autoridades policiais.
A empresa não divulgou publicamente quanto dinheiro foi pago ou se os atacantes forneceram provas de que os dados roubados foram deletados posteriormente.
A brecha ocorreu em um dos piores momentos possíveis para as instituições de ensino, ocorrendo durante as provas finais e a temporada de formaturas. Estudantes da América do Norte, Europa, Austrália e Ásia relataram não conseguir acessar materiais de estudo, entregar tarefas ou completar avaliações, pois as escolas desativaram temporariamente o acesso ao Canvas durante o incidente.
Várias universidades atrasaram exames ou estenderam prazos após a interrupção ter interrompido os sistemas de trabalhos acadêmicos. Algumas instituições desconectaram completamente o Canvas das redes internas enquanto investigavam a possível exposição de dados de estudantes e funcionários.
A ShinyHunters afirmou que o ataque afetou quase 9.000 escolas e expôs dados ligados a aproximadamente 275 milhões de usuários no mundo todo. Segundo o grupo, as informações roubadas incluíam nomes, endereços de e-mail, números de identidade de estudante e bilhões de mensagens privadas trocadas pelos sistemas Canvas.
A Instructure afirmou anteriormente que não havia evidências de que senhas, informações financeiras, números de Seguro Social ou identificadores emitidos pelo governo foram comprometidos. A empresa atribuiu a violação a problemas envolvendo contas “Free-For-Teacher” conectadas à plataforma.
Durante o incidente, alguns usuários que tentaram entrar no Canvas teriam sido redirecionados para mensagens de resgate postadas por ShinyHunters exigindo negociações antes do prazo do vazamento. Os atacantes ameaçaram divulgar publicamente os dados roubados caso o pagamento não fosse feito.
A decisão de pagar os hackers provavelmente gerará debate entre especialistas e educadores em cibersegurança. As agências de aplicação da lei geralmente desencorajam pagamentos de resgate porque podem incentivar ataques futuros e não oferecem garantia de que dados roubados serão realmente destruídos.
Ainda assim, organizações que enfrentam incidentes de extorsão em grande escala frequentemente ponderam o risco de informações sensíveis se tornarem públicas, especialmente quando milhões de estudantes, professores e funcionários podem ser afetados.
O incidente se tornou um dos maiores ataques cibernéticos conhecidos que visam o setor educacional e renovou as preocupações sobre a crescente dependência de plataformas centralizadas de tecnologia educacional. Pesquisadores de segurança alertam que grandes sistemas de gestão de aprendizagem se tornaram alvos cada vez mais atraentes porque armazenam enormes quantidades de dados pessoais e institucionais sensíveis em um único lugar.
Também restam dúvidas sobre se todos os dados roubados foram protegidos após o pagamento. Especialistas em cibersegurança observam que grupos de ransomware e extorsão frequentemente mantêm cópias de informações roubadas mesmo após o término das negociações, deixando as vítimas expostas a vazamentos futuros ou revendas em fóruns clandestinos.
A Instructure afirmou que continua trabalhando com investigadores forenses e agências de aplicação da lei enquanto monitora quaisquer sinais de que os dados roubados ainda possam surgir online.