A empresa de tecnologia educacional Instructure confirmou uma violação de dados que afeta seus sistemas, após o grupo de crimes cibernéticos ShinyHunters assumir a responsabilidade e ameaçar vazar dados roubados.
A empresa, mais conhecida por seu sistema de gestão de aprendizagem Canvas usado por escolas e universidades ao redor do mundo, revelou que atacantes obtiveram acesso não autorizado a sistemas internos e exfiltraram dados de usuários.
Segundo a Instructure, as informações comprometidas incluem nomes, endereços de e-mail e números de identificação estudantil, além de conteúdo gerado pelos usuários, como mensagens trocadas dentro da plataforma. A empresa afirmou que não encontrou nenhuma evidência de que senhas, dados financeiros ou identificadores emitidos pelo governo tenham sido expostos.
A violação provocou interrupções no serviço, levando a Instructure a revogar os tokens de acesso, desativar os sistemas afetados e implementar controles adicionais de monitoramento e segurança durante a investigação do incidente.
O grupo ShinyHunters afirmou ter um impacto significativamente maior do que o que foi confirmado publicamente. Segundo os atacantes, dados de até 275 milhões de indivíduos e quase 9.000 instituições educacionais podem ter sido acessados, incluindo comunicações privadas entre estudantes e educadores. Esses números não foram verificados de forma independente.
O incidente parece fazer parte de uma campanha mais ampla voltada para plataformas baseadas em nuvem e SaaS. Analistas de segurança observam que ataques atribuídos aos ShinyHunters frequentemente dependem de roubo de credenciais, engenharia social ou sequestro de tokens para acessar sistemas corporativos, em vez de explorar vulnerabilidades de software diretamente.
Esta não é a primeira vez que a Instructure enfrenta um incidente de segurança. A empresa já divulgou anteriormente uma violação ligada a ataques de engenharia social em 2025, também associada ao mesmo grupo de ameaça, destacando riscos contínuos para plataformas que lidam com grandes volumes de dados educacionais.
Especialistas alertam que até mesmo conjuntos de dados limitados, como nomes, e-mails e comunicações internas, podem ser usados para phishing, personificação e campanhas direcionadas de engenharia social. A inclusão de conteúdo de mensagens aumenta ainda mais a exposição potencial ao fornecer contexto que os atacantes podem explorar.
A investigação continua em andamento, com a Instructure continuando a avaliar a extensão da violação e monitorar quaisquer sinais de uso indevido ou publicação de dados.