Deutsch
English
Español
Français
Nederlands
Português
Instructure, empresa controladora do Canvas, confirmou acordo com o grupo ShinyHunters após roubo de dados de 275 milhões de usuários. Em comunicado de 12 de maio de 2026, a Instructure disse que os dados foram devolvidos e destruídos digitalmente, sem revelar se resgate foi pago. A violação de dados do Canvas em 2026 interrompeu exames finais em centenas de universidades, incluindo Harvard, Columbia e o sistema da Universidade da Califórnia.
O que aconteceu no hack do Canvas?
O ataque ocorreu em duas fases. Em 3 de maio de 2026, o ShinyHunters explorou uma vulnerabilidade no sistema 'Free-For-Teacher' do Canvas, acessando dados de 275 milhões de usuários em mais de 8.800 instituições. Após a Instructure aplicar patches de segurança sem negociar, o grupo atacou novamente em 7 de maio, desfigurando painéis de login com uma mensagem de resgate com prazo até 12 de maio.
Quem são os hackers ShinyHunters?
ShinyHunters é um notório grupo de extorsão ativo desde 2019, responsável por violações como Microsoft (2020), Tokopedia e a operadora holandesa Odido. No caso Odido, a maior violação de dados da história dos Países Baixos, o grupo vazou 6,2 milhões de contas após a empresa se recusar a pagar. Eles operam com modelo 'pague ou vaze'.
Alvos e métodos anteriores
O grupo utilizou configurações incorretas de nuvem, roubo de tokens OAuth, ataques à cadeia de suprimentos e exploits de dia zero. Vítimas notáveis incluem Mathway (25 milhões) e Wishbone. Em 2022, o membro francês Sébastien Raoult foi extraditado aos EUA e condenado a três anos de prisão, mas a liderança permanece ativa.
Resposta da Instructure e o acordo de resgate
Inicialmente, a Instructure adotou postura dura. O CEO Steve Daly reconheceu que a empresa priorizou patches de segurança em detrimento da comunicação. À medida que o prazo se aproximava e universidades cancelavam exames, a Instructure negociou diretamente com o ShinyHunters. Em comunicado, afirmaram: 'Como parte do acordo, os dados foram devolvidos e recebemos confirmação digital de sua destruição. Fomos informados de que nenhum cliente está sendo extorquido.'
Impacto nas universidades e estudantes
O hack forçou dezenas de universidades a desligar o Canvas durante os exames finais. O sistema da California State University, com mais de 460 mil alunos, foi afetado. Muitas instituições orientaram os alunos a enviar provas por e-mail e prometeram não penalidades acadêmicas. Especialistas alertam para aumento de riscos de phishing. A preocupação com a privacidade dos dados dos alunos gerou pedidos de regulamentações mais rígidas de segurança cibernética no setor educacional.
Quais dados foram roubados?
Segundo fontes, os dados comprometidos incluem:
- Nomes completos e endereços de e-mail
- Números de identificação estudantil e afiliações institucionais
- Mensagens internas e comunicações relacionadas a cursos
- Datas de criação de conta e último login
Não houve comprometimento de informações financeiras, números de Seguro Social ou senhas. No entanto, o volume de 3,65 terabytes torna esta uma das maiores violações educacionais da história.
Comparação: Odido vs. Canvas
| Alvo | Registros Roubados | Resgate Pago? | Dados Publicados? |
|---|---|---|---|
| Odido (2025) | 6,2 milhões | Não | Sim (vazamento completo) |
| Canvas/Instructure (2026) | 275 milhões | Não divulgado | Não (destruídos) |
FAQ: Hack do Canvas e violação de dados
Meus dados foram roubados no hack do Canvas?
Se você é estudante ou educador em instituição que usa o Canvas, seu nome, e-mail e ID estudantil podem ter sido expostos. Verifique com o departamento de TI da sua escola.
A Instructure pagou o resgate?
A Instructure não confirmou, mas analistas acreditam que sim, dado o retorno e destruição dos dados.
O que fazer se meus dados foram comprometidos?
Fique atento a e-mails de phishing, ative a autenticação de dois fatores em suas contas educacionais e monitore atividades suspeitas. Altere sua senha do Canvas se não o fez recentemente.
O Canvas é seguro para usar agora?
A Instructure implementou medidas de segurança adicionais e encerrou o programa 'Free-For-Teacher'. A plataforma está operacional, mas os usuários devem manter cautela.
Quem é responsável pelo hack?
O grupo ShinyHunters reivindicou a responsabilidade. Agências policiais, incluindo o FBI, estão investigando.
Follow Discussion