Deutsch
English
Español
Français
Nederlands
Português
Vazamento massivo de dados do Canvas confirmado: ShinyHunters ataca setor educacional
Um vazamento massivo de dados na Instructure, empresa controladora do amplamente utilizado sistema de gerenciamento de aprendizado Canvas, expôs informações pessoais de até 275 milhões de alunos, professores e funcionários em todo o mundo. O grupo de hackers ShinyHunters reivindicou a responsabilidade pelo ataque, que atingiu cerca de 9.000 instituições educacionais globalmente, incluindo várias universidades importantes nos Países Baixos. A violação foi detectada em 30 de abril de 2026 e confirmada pela Instructure em 1º de maio de 2026.
Quais dados foram roubados no vazamento do Canvas?
De acordo com a confirmação oficial da Instructure, os dados expostos incluem nomes, endereços de e-mail, números de identificação de alunos e mensagens privadas trocadas entre usuários do Canvas. A empresa afirmou que não há evidências de que senhas, datas de nascimento, identificações governamentais ou informações financeiras foram comprometidas. No entanto, o ShinyHunters afirma ter roubado 3,65 terabytes de dados, incluindo 'vários bilhões de mensagens privadas' e informações pessoais identificáveis. Os hackers também alegam que invadiram a instância Salesforce da Instructure por meio de uma configuração incorreta. A Instructure implementou patches, rotacionou chaves de aplicativos e aumentou o monitoramento.
Ultimato do ShinyHunters: Pague ou vaze
O ShinyHunters postou uma ameaça na dark web dirigida à Instructure Holdings, escrevendo: 'Este é um aviso final. Entre em contato conosco antes de 6 de maio de 2026, ou vazaremos os dados e outros problemas digitais desagradáveis virão. Faça a escolha certa, não seja a próxima manchete.' O grupo é conhecido por sua estratégia de extorsão 'pague ou vaze', tendo alvejado anteriormente grandes empresas como Odido, Ticketmaster, AT&T, Santander e Wattpad. Esta não é a primeira vez que o ShinyHunters ataca a Instructure. O mesmo grupo explorou um ataque de engenharia social contra o ambiente Salesforce da Instructure em setembro de 2025, tornando esta a segunda grande violação de dados edtech em menos de um ano para a empresa.
Universidades holandesas entre as afetadas
Várias instituições educacionais holandesas proeminentes que usam o Canvas estão potencialmente impactadas, incluindo Fontys Hogescholen, Universidade de Maastricht, Hogeschool Utrecht, Universidade de Amsterdã, VU Amsterdam, Universidade Erasmus de Roterdã e Universidade de Tilburgo. A Universidade de Maastricht já informou alunos e funcionários por e-mail, observando que o Canvas permanece seguro para uso enquanto as investigações continuam. A crescente ameaça de ciberataques à educação destaca a vulnerabilidade de plataformas de aprendizagem centralizadas que armazenam grandes quantidades de dados pessoais de menores e adultos.
Por que este vazamento é importante para a educação
O Canvas é um dos sistemas de gerenciamento de aprendizado mais populares do mundo, usado por mais de 8.000 instituições na América do Norte, Europa e Ásia-Pacífico. A plataforma está no centro das operações educacionais diárias, lidando com notas, tarefas, comunicações e fluxos de trabalho administrativos. Uma violação dessa escala levanta sérias preocupações sobre privacidade do aluno, roubo de identidade e ataques de phishing direcionados. Especialistas em segurança cibernética alertam que endereços de e-mail escolares e IDs de alunos expostos tornam professores e alunos alvos principais para campanhas de engenharia social.
O que alunos e professores devem fazer agora
Especialistas em segurança cibernética recomendam que todos os usuários do Canvas tomem as seguintes precauções:
- Alterar as senhas do Canvas imediatamente e ativar a autenticação multifator (MFA), se disponível.
- Ficar atento a e-mails de phishing que pareçam vir da Instructure ou da sua instituição educacional.
- Monitorar contas em busca de atividades suspeitas, incluindo tentativas de login não autorizadas.
- Não clicar em links ou baixar anexos de mensagens não solicitadas que alegam ser sobre a violação.
A Instructure afirmou que notificará diretamente as instituições afetadas se mais exposição de dados for descoberta.
Implicações regulatórias e legais
A violação pode desencadear escrutínio regulatório sob a Lei de Direitos Educacionais e Privacidade da Família nos EUA, o Regulamento Geral de Proteção de Dados na Europa e outras leis de privacidade. Universidades holandesas, em particular, podem ter obrigações de relatar o incidente à Autoriteit Persoonsgegevens. Ações judiciais coletivas semelhantes às movidas contra a Odido nos Países Baixos também podem surgir se os usuários afetados buscarem indenização.
FAQ: Vazamento de dados do Canvas
O que é o vazamento de dados do Canvas?
É um incidente de segurança cibernética confirmado pela Instructure em 1º de maio de 2026, no qual o grupo ShinyHunters roubou dados pessoais de até 275 milhões de usuários do Canvas em todo o mundo.
Quais dados foram roubados no vazamento do Canvas?
Os dados expostos incluem nomes, endereços de e-mail, números de identificação de alunos e mensagens privadas. Senhas, datas de nascimento, identificações governamentais e dados financeiros não foram comprometidos, segundo a Instructure.
Quais escolas são afetadas pelo ataque ao Canvas?
Cerca de 9.000 instituições educacionais globalmente são potencialmente afetadas, incluindo grandes universidades holandesas como Universidade de Amsterdã, Universidade de Maastricht e Universidade Erasmus de Roterdã.
Quem é o ShinyHunters?
É um grupo de hackers e extorsão formado por volta de 2019, conhecido por violações de dados em grande escala e táticas de 'pague ou vaze'. Já alvejaram empresas como Odido, Ticketmaster, AT&T e Microsoft.
O Canvas é seguro para usar após a violação?
A Instructure afirmou que o Canvas permanece seguro. A empresa corrigiu a vulnerabilidade, rotacionou chaves de API e aumentou o monitoramento. No entanto, os usuários devem alterar senhas e ativar a MFA como precaução.
Follow Discussion