Mais de 40% das faculdades e universidades usam o Canvas.
Ilustração fotográfica de Justin Morrison/Inside Higher Ed | SuperCubePL/iStock/Getty Images
O setor do ensino superior recebeu outro lembrete no fim de semana de que continua a ser o principal alvo dos cibercriminosos.
Hackers que roubaram dados da Ticketmaster, Google e várias universidades de alto nível iniciou o mês de maio violando a Inestrutura; a empresa de tecnologia educacional possui o sistema de gerenciamento de aprendizagem mais popular do país, o Canvas, que é usado por 41 por cento das instituições de ensino superior em toda a América do Norte para ministrar cursos.
O grupo criminoso de extorsão ShinyHunters – que também tem sido associado a recentes violações de dados na Universidade da Pensilvânia e nas universidades de Princeton e Harvard – alegou que o seu ataque à Instructure afetou quase 9.000 escolas em todo o mundo (incluindo uma mistura de instituições de ensino fundamental e médio e de ensino superior) e comprometeu as informações de identificação pessoal de 275 milhões de pessoas, incluindo estudantes, professores e funcionários.
Embora a Instructure afirme que conteve o ataque, os especialistas dizem que ela aponta para o valor agregado que os ciberataques veem ao perseguir fornecedores terceirizados em vez de instituições individuais.
“Essa violação segue um padrão claro que temos observado nos últimos 18 meses”, disse Doug Thompson, arquiteto-chefe de educação e diretor de engenharia de soluções da Tanium, uma empresa de gerenciamento de segurança cibernética. “Em vez de atingir campi individuais, os invasores estão subindo na cadeia de fornecimento de dados para as plataformas que ficam sob milhares de instituições ao mesmo tempo.”
Esta não é a primeira vez que ShinyHunters vitima fornecedores de tecnologia educacional. No outono passado, hackers ligados ao grupo invadiram o Salesforce e alegou roubo de cerca de um bilhão de registros de clientes em dezenas de empresas – incluindo a Instructure, que tem 8.000 instituições parceiras. Em março, ShinyHunters se infiltraram no Campus Infinitoum sistema de informação para estudantes do ensino fundamental e médio amplamente utilizado. E em abril, recebeu o crédito por acessando dados internos da editora McGraw Hill.
“É a matemática de um assaltante de banco que acabou de descobrir onde o caminhão blindado para. Por que assaltar cem agências quando o caminhão visita todas elas? O risco real agora está a jusante”, disse Thompson. “Com acesso a nomes reais, endereços de e-mail e até mensagens entre professores e alunos, a próxima onda de phishing não será genérica. Fará referência a cursos e conversas reais, o que aumenta muito as probabilidades de sucesso.”
‘PAGAR OU VAZAR’
Não está claro exatamente como o ShinyHunters invadiu o Instructure, mas no final da semana passada os usuários do Canvas começaram a relatar interrupções em suas chaves de autenticação. E logo depois, a Instructure recebeu uma mensagem dos ShinyHunters: “PAGUE OU VAZE”.
Se a Instructure não pagasse, poderia antecipar um vazamento de “vários bilhões de mensagens privadas entre alunos e professores e alunos e outros alunos envolvidos, contendo conversas pessoais e outras [personal identifying information]”, escreveu ShinyHunters em uma carta de resgate publicada 3 de maio pelo site Ransomware.liveque rastreia e monitora as vítimas de grupos de ransomware e suas atividades. Os hackers disseram à Instructure “para entrar em contato até 6 de maio de 2026, antes de vazarmos junto com vários [digital] problemas que surgirão em seu caminho”, alertando a empresa para “tomar a decisão certa” para evitar se tornar “a próxima manchete”.
Embora a Instructure não tenha respondido a Por dentro do ensino superiorpedidos de comentários sobre o resgate e outras questões específicas sobre o ataque, apontou para um registro de atualizações de status de autoria de Steve Proud, diretor de segurança da informação da Instructure. Na sexta-feira, a Proud confirmou que a violação foi “perpetrada por um ator de ameaça criminosa” e disse que a empresa estava “investigando ativamente este incidente com a ajuda de especialistas forenses externos”.
No dia seguinte, Proud escreveu que a Instructure acreditava ter contido o ataque e tomado medidas para revogar credenciais privilegiadas e tokens de acesso associados aos sistemas afetados, implantou patches para aumentar a segurança do sistema, alternou certas chaves – “mesmo que não haja evidências de que foram mal utilizadas” – e implementou maior monitoramento em todas as plataformas.
“Embora continuemos investigando ativamente, até o momento, há indicações de que as informações envolvidas consistem em certas informações de identificação de usuários nas instituições afetadas, como nomes, endereços de e-mail e números de carteira de estudante, bem como mensagens entre usuários”, escreveu ele. “Neste momento, não encontramos nenhuma evidência de que senhas, datas de nascimento, identificadores governamentais ou informações financeiras estivessem envolvidas. Se isso mudar, notificaremos quaisquer instituições afetadas.”
Isso acompanha com reportagem do meio de comunicação Crise tecnológicaque visualizou uma amostra de dados roubados de uma universidade no Tennessee e outra em Massachusetts fornecida pela ShinyHunters. De acordo com o meio de comunicação, os dados de amostra incluíam mensagens contendo nomes, endereços de e-mail e alguns números de telefone, mas “não continham senhas ou outros tipos de dados que a Instructure disse não terem sido afetados pela violação”.
‘Alvos Ricos’
A Inestrutura parece estar restaurando seus sistemas. Na atualização mais recente publicada na segunda-feira, Proud escreveu que o Canvas Data 2 e Beta “devem agora estar disponíveis para todos os clientes”, enquanto outra versão do LMS, Canvas Test, permanece em manutenção.
Ainda assim, o incidente serviu de alerta para o setor.
“A violação do Canvas é um lembrete de que nenhuma plataforma está imune: existem inúmeros sistemas amplamente utilizados que continuam a ser alvos atraentes para malfeitores sofisticados, incluindo estados-nação”, disse Anton Dahbura, diretor executivo do Instituto de Segurança da Informação da Universidade Johns Hopkins. “As plataformas educacionais são alvos particularmente ricos, dada a concentração de dados pessoais, financeiros e de estudantes internacionais.”
O que é especialmente preocupante sobre a violação do Canvas é que ela revela como “mesmo as organizações que fazem as coisas certas ainda podem ser expostas através de fornecedores confiáveis”, acrescentou. “Precisamos de uma abordagem sistémica à segurança cibernética. Defesas mais fortes, melhor responsabilização na cadeia de abastecimento e um reconhecimento de que as violações de dados não são eventos isolados, mas parte de um cenário de ameaças estratégicas mais amplo.”
Source link
