Article in deDeutsch Article in enEnglish Article in esEspañol Article in frFrançais Article in nlNederlands Article in ptPortuguês

Canvas Hack: Instructure paga resgate, dados devolvidos

0
0
Crime 3 min read 0% read

Instructure confirma acordo com ShinyHunters após hack do Canvas expor 275M usuários. Dados devolvidos e destruídos. Universidades afetadas durante exames.

canvas-hack-instructure-resgate
Facebook X LinkedIn Bluesky WhatsApp
de flag en flag es flag fr flag nl flag pt flag

Instructure, empresa controladora do Canvas, confirmou acordo com o grupo ShinyHunters após roubo de dados de 275 milhões de usuários. Em comunicado de 12 de maio de 2026, a Instructure disse que os dados foram devolvidos e destruídos digitalmente, sem revelar se resgate foi pago. A violação de dados do Canvas em 2026 interrompeu exames finais em centenas de universidades, incluindo Harvard, Columbia e o sistema da Universidade da Califórnia.

O que aconteceu no hack do Canvas?

O ataque ocorreu em duas fases. Em 3 de maio de 2026, o ShinyHunters explorou uma vulnerabilidade no sistema 'Free-For-Teacher' do Canvas, acessando dados de 275 milhões de usuários em mais de 8.800 instituições. Após a Instructure aplicar patches de segurança sem negociar, o grupo atacou novamente em 7 de maio, desfigurando painéis de login com uma mensagem de resgate com prazo até 12 de maio.

Quem são os hackers ShinyHunters?

ShinyHunters é um notório grupo de extorsão ativo desde 2019, responsável por violações como Microsoft (2020), Tokopedia e a operadora holandesa Odido. No caso Odido, a maior violação de dados da história dos Países Baixos, o grupo vazou 6,2 milhões de contas após a empresa se recusar a pagar. Eles operam com modelo 'pague ou vaze'.

Alvos e métodos anteriores

O grupo utilizou configurações incorretas de nuvem, roubo de tokens OAuth, ataques à cadeia de suprimentos e exploits de dia zero. Vítimas notáveis incluem Mathway (25 milhões) e Wishbone. Em 2022, o membro francês Sébastien Raoult foi extraditado aos EUA e condenado a três anos de prisão, mas a liderança permanece ativa.

Resposta da Instructure e o acordo de resgate

Inicialmente, a Instructure adotou postura dura. O CEO Steve Daly reconheceu que a empresa priorizou patches de segurança em detrimento da comunicação. À medida que o prazo se aproximava e universidades cancelavam exames, a Instructure negociou diretamente com o ShinyHunters. Em comunicado, afirmaram: 'Como parte do acordo, os dados foram devolvidos e recebemos confirmação digital de sua destruição. Fomos informados de que nenhum cliente está sendo extorquido.'

Impacto nas universidades e estudantes

O hack forçou dezenas de universidades a desligar o Canvas durante os exames finais. O sistema da California State University, com mais de 460 mil alunos, foi afetado. Muitas instituições orientaram os alunos a enviar provas por e-mail e prometeram não penalidades acadêmicas. Especialistas alertam para aumento de riscos de phishing. A preocupação com a privacidade dos dados dos alunos gerou pedidos de regulamentações mais rígidas de segurança cibernética no setor educacional.

Quais dados foram roubados?

Segundo fontes, os dados comprometidos incluem:

  • Nomes completos e endereços de e-mail
  • Números de identificação estudantil e afiliações institucionais
  • Mensagens internas e comunicações relacionadas a cursos
  • Datas de criação de conta e último login

Não houve comprometimento de informações financeiras, números de Seguro Social ou senhas. No entanto, o volume de 3,65 terabytes torna esta uma das maiores violações educacionais da história.

Comparação: Odido vs. Canvas

AlvoRegistros RoubadosResgate Pago?Dados Publicados?
Odido (2025)6,2 milhõesNãoSim (vazamento completo)
Canvas/Instructure (2026)275 milhõesNão divulgadoNão (destruídos)

FAQ: Hack do Canvas e violação de dados

Meus dados foram roubados no hack do Canvas?

Se você é estudante ou educador em instituição que usa o Canvas, seu nome, e-mail e ID estudantil podem ter sido expostos. Verifique com o departamento de TI da sua escola.

A Instructure pagou o resgate?

A Instructure não confirmou, mas analistas acreditam que sim, dado o retorno e destruição dos dados.

O que fazer se meus dados foram comprometidos?

Fique atento a e-mails de phishing, ative a autenticação de dois fatores em suas contas educacionais e monitore atividades suspeitas. Altere sua senha do Canvas se não o fez recentemente.

O Canvas é seguro para usar agora?

A Instructure implementou medidas de segurança adicionais e encerrou o programa 'Free-For-Teacher'. A plataforma está operacional, mas os usuários devem manter cautela.

Quem é responsável pelo hack?

O grupo ShinyHunters reivindicou a responsabilidade. Agências policiais, incluindo o FBI, estão investigando.

Fontes

Artigos relacionados

vazamento-canvas-shinyhunters
Crime
Crime

Vazamento Canvas: 275M usuários expostos por ShinyHunters

Vazamento Canvas: ShinyHunters roubou 275M registros de 9 mil escolas. Nomes, e-mails, IDs, mensagens expostos....

odido-data-breach-records-2024
Crime
Crime

Odido: Violação de 680K Registros, Empresa Recusa Resgate

Odido recusa resgate enquanto hackers ShinyHunters publicam 680.000 registros de clientes em uma das maiores...

odido-violacao-dados-680k-registros-2026
Tecnologia
Tecnologia

Odido Violação de Dados: 680K Registros Vazados | Cibersegurança

Hackers ShinyHunters publicam 680.000 registros da Odido após resgate de €1 milhão. Violação de dados de fevereiro...

odido-data-leak-2026-hack-holanda
Crime
Crime

Vazamento de Dados da Odido 2026: 6,2 Milhões de Contas Expostas no Maior Hack da Holanda

Vazamento de dados da Odido em 2026 expôs 6,2 milhões de contas na Holanda, com dados roubados incluindo números...

motherless-abuso-site-fora-do-ar
Crime
Crime

Motherless Fora do Ar: OM Holandês Fecha Site de Abuso | Crime

Procuradores holandeses tiram Motherless do ar após investigações da CNN e NOS revelarem milhares de vídeos de abuso...