Várias instituições de ensino dos EUA, inclusive universidades, entraram em contato com o grupo criminoso ShinyHunters para pagamento de resgate, com o objetivo de impedir a publicação de dados de alunos e professores roubados da plataforma educacional Canvas, operada pela empresa amercana Instructure. A informação foi publicada na sexta-feira dia 8 de Maio pela agência Reuters, baseada em fontes anônimas. O grupo invadiu o sistema da Instructure, empresa proprietária do Canvas, e furtou dados de aproximadamente 275 milhões de usuários em todo o mundo, mas principalmente nos EUA.
ShinyHunters incentiva instituições a negociarem individualmente
Os criminosos exigiram resgate e ameaçaram divulgar os dados em seu próprio site caso o pagamento não fosse feito. O grupo afirmou publicamente que a Instructure não abriu negociações, e por isso fez um apelo direto às instituições de ensino para que cada uma negociasse individualmente o pagamento, a fim de evitar a exposição de seus alunos e professores. O ShinyHunters também conseguiu exibir uma mensagem com a mesma solicitação diretamente na tela de login do Canvas, visível para usuários que tentavam acessar o ambiente. O portal Security.nl informa que o Instructure identificou a vulnerabilidade utilizada no ataque como relacionada a tickets de suporte no ambiente “Free for Teacher”, que já foi desativado.
Instructure admite falha na comunicação e universidades holandesas reagem
A empresa Instructure, em uma página de informações sobre o incidente, afirmou que compartilhará indicadores de comprometimento (IOCs) com seus clientes. Após críticas pelo silêncio nos dias seguintes à invasão, o fabricante admitiu que deveria ter se comunicado mais cedo e com mais informações, prometendo mudar sua postura. O Security.nl reporta que universidades neerlandesas (Holanda) retiraram seus ambientes Canvas do ar como medida preventiva. A publicação também repercute a discussão entre os leitores sobre a ética de pagar resgate a criminosos, com alguns argumentando que a negociação financia o crime organizado e não garante a não divulgação dos dados.
Instituições de ensino devem priorizar a notificação imediata de alunos e professores sobre a violação de dados, independentemente da negociação de resgate. Observa-se que o pagamento de resgate a grupos de extorsão não garante a destruição ou não divulgação dos dados furtados. Recomenda-se que as organizações afetadas monitorem ativamente sites de vazamento e fóruns da dark web para detectar a publicação de suas informações. É aconselhável que empresas de tecnologia mantenham canais de comunicação transparentes e forneçam indicadores de comprometimento (IOCs) prontamente durante crises de segurança.
