Hackers publicaram uma lista enorme de instituições educacionais supostamente afetadas pelo crescente vazamento de dados do LMS do Canvas, com nomes como Universidade de Harvard, MIT, Universidade de Oxford e milhares de escolas em vários países.
O vazamento está ligado ao grupo de crimes cibernéticos ShinyHunters, que afirma ter invadido sistemas conectados ao Canvas, a plataforma de gestão de aprendizado amplamente utilizada desenvolvida pela Instructure. Os atacantes alegam que o incidente afeta quase 9.000 instituições e até 275 milhões de pessoas no mundo todo.
De acordo com arquivos publicados pelo grupo, aproximadamente 8.809 organizações educacionais aparecem na lista de vítimas vazadas. As instituições abrangem pelo menos 10 países, com a maioria localizada nos Estados Unidos, seguida pela Austrália, Reino Unido e partes da Europa.
Entre as organizações supostamente impactadas estão universidades reconhecidas globalmente, incluindo Harvard, Oxford, MIT, Princeton e a Universidade da Pensilvânia. A lista também inclui escolas de ensino médio, instituições profissionais e várias entidades corporativas que se acredita utilizarem o Canvas para programas de treinamento de funcionários.
A ShinyHunters afirma que a violação expôs grandes volumes de dados educacionais sensíveis, incluindo nomes, endereços de e-mail, números de identificação de estudante e bilhões de mensagens privadas trocadas entre estudantes, professores e administradores pela plataforma.
A Instructure confirmou um incidente de cibersegurança envolvendo o Canvas, mas não verificou a dimensão das alegações dos atacantes. A empresa afirmou que informações expostas podem incluir dados identificativos e comunicações dos usuários, embora tenha afirmado que atualmente não há evidências de que senhas, dados financeiros, datas de nascimento ou identificadores emitidos pelo governo tenham sido comprometidos.
A empresa também afirmou que revogou credenciais privilegiadas, rodou chaves de segurança, corrigiu sistemas afetados e aumentou o monitoramento enquanto trabalhava com especialistas forenses externos para investigar o incidente.
A violação gerou preocupação em todo o setor educacional porque o Canvas é um dos sistemas de gestão de aprendizagem mais utilizados no mundo. Mais de 40% das faculdades e universidades dependem da plataforma para trabalhos acadêmicos, tarefas, mensagens e gerenciamento digital de sala de aula.
Várias universidades e escolas ao redor do mundo já reconheceram receber notificações relacionadas ao incidente. Instituições educacionais na Austrália, Suécia e outros países confirmaram que estão avaliando a exposição potencial envolvendo dados de estudantes e funcionários.
Autoridades e administradores escolares estão particularmente preocupados com a possível exposição de comunicações privadas dentro dos ambientes educacionais. Pesquisadores alertam que conversas vazadas, endereços de e-mail e registros institucionais podem ser explorados em ataques de phishing, campanhas de roubo de identidade ou operações direcionadas de engenharia social.
O incidente também destaca os crescentes riscos de cibersegurança enfrentados pelas instituições educacionais. Universidades e escolas tornaram-se alvos cada vez mais atraentes para grupos cibercriminosos porque armazenam grandes quantidades de dados pessoais enquanto frequentemente operam com ambientes de TI fragmentados e recursos de segurança limitados.
A ShinyHunters se destacou como um dos grupos de cibercrime mais ativos focados em extorsão nos últimos anos, atacando repetidamente serviços em nuvem, provedores SaaS, universidades e plataformas corporativas. O grupo já foi associado a violações que afetaram ambientes Salesforce, empresas de telecomunicações, instituições financeiras e agências governamentais.
Pesquisadores dizem que o grupo frequentemente combina roubo de dados com táticas de extorsão pública, ameaçando vazar informações roubadas a menos que as vítimas concordem com negociações. Em muitos casos, os atacantes publicam nomes de vítimas ou conjuntos parciais para aumentar a pressão e atrair a atenção da mídia.
O incidente do Canvas parece se encaixar nesse padrão. A ShinyHunters continuou divulgando informações adicionais relacionadas à violação, incluindo listas de instituições supostamente afetadas, enquanto alerta as organizações para contatarem o grupo antes que mais dados sejam vazados publicamente.
Analistas de segurança dizem que a verdadeira escala da violação ainda não está clara, pois a verificação independente das alegações dos atacantes ainda está em andamento. No entanto, se os números fornecidos pelo ShinyHunters se mostrarem precisos, o incidente pode se tornar uma das maiores violações de dados do setor educacional já registradas.