O grupo de extorsão ShinyHunters reivindicou a autoria de um ataque cibernético contra a Instructure, empresa proprietária da plataforma educacional Canvas, utilizada por mais de 8 mil universidades e escolas, sendo a maioria nos Estados Unidos. A invasão, que ocorreu nos primeiros dias deste mês, resultou no acesso a dados de mais de 275 milhões de pessoas em cerca de 9 mil instituições de ensino, conforme um comunicado publicado ontem, 7 de maio. A plataforma Canvas ficou indisponível por várias horas na quinta-feira, afetando alunos em período de exames finais em universidades como Michigan e Harvard, segundo o jornal New York Times.
A quadrilha de extorsão costuma invadir empresas de integração de terceiros e exigir resgate com a ameaça de exposição de dados. No caso da Instructure, o grupo afirmou ter acessado informações pessoais identificáveis, incluindo nomes, endereços de e-mail, números de identificação de estudantes e mensagens trocadas na plataforma Canvas. Em um comunicado público feito no seu site de vazamentos na dark web, o grupo declarou: “Devido ao grande número de perguntas da imprensa que estamos recebendo a cada hora de todo o mundo, estamos fazendo uma declaração pública. Não estamos comentando e não temos mais comentários a fazer sobre este incidente global.”
Steve Proud, diretor de segurança da informação da Instructure, confirmou em 1º de maio que a empresa sofreu um “incidente de segurança cibernética perpetrado por um ator criminoso”. Proud afirmou que a empresa contratou especialistas forenses e que, a partir de 2 de maio, a violação foi “contida”. Em atualização no dia seguinte, o executivo informou que os dados comprometidos incluem informações pessoais identificáveis, mas que não há evidências de que senhas, datas de nascimento, identificadores governamentais ou informações financeiras tenham sido acessadas. A empresa afirmou em seu site na quarta-feira que “Canvas está totalmente operacional e não estamos vendo nenhuma atividade não autorizada em andamento”.
Registro da Instructure não está no site de vazamentos do ShinyHunters, sugerindo possível pagamento de resgate
Ao contrário de outras vítimas do grupo, o nome da Instructure não aparece no site de vazamentos do ShinyHunters. Esse fato pode indicar que a empresa tenha negociado ou pago o resgate exigido. O grupo, que atua desde aproximadamente 2020, já alvejou Ticketmaster, Microsoft, AT&T e, recentemente, as empresas de educação Infinite Campus e McGraw Hill. Em sua mensagem de resgate, divulgada em 3 de maio, o ShinyHunters ameaçou vazar “vários bilhões de mensagens privadas entre alunos e professores” caso não recebesse um resgate. O grupo também incentivou as escolas afetadas, incluindo Duke University e University of Maryland, a consultarem especialistas em segurança e “entrarem em contato para negociar um acordo”. Alguns estudantes relataram que a mensagem do grupo na plataforma Canvas foi posteriormente alterada para um alerta de “manutenção programada”.
