A gigante de tecnologia educacional Instructure, desenvolvedora do popular software Canvas, confirmou que uma vulnerabilidade de segurança permitiu que hackers alterassem os portais de login do serviço e deixassem uma mensagem de extorsão, após um ataque que afetou cerca de 9.000 instituições nos Estados Unidos, Canadá, Austrália e Reino Unido e interrompeu exames em universidades e faculdades.
Tanto a invasão quanto as alterações visuais envolveram múltiplas vulnerabilidades de cross-site scripting, ou XSS, que permitiram ao invasor obter sessões administrativas autenticadas.
O segundo ataque teve como objetivo chamar atenção e pressionar a Instructure a abrir negociações para pagar um resgate, após uma invasão inicial revelada uma semana antes. Os hackers ameaçaram divulgar 3,5 terabytes de dados de estudantes e universidades que teriam sido roubados no data breach.
A Instructure é a desenvolvedora do Canvas, um popular sistema de gestão de aprendizagem, ou LMS, usado por escolas e universidades em todo o mundo para administrar tarefas e atividades escolares.
Em 29 de abril, a empresa descobriu que sua rede havia sido invadida e afirmou que “revogou imediatamente o acesso da parte não autorizada, iniciou uma investigação e acionou especialistas forenses externos”.
Alguns dias depois, a empresa confirmou que dados foram roubados no ataque cibernético, e o grupo ShinyHunters publicou a Instructure em seu site de vazamento de dados, afirmando ter levado mais de 3,6 terabytes de dados sem compressão.
Na tentativa de coagir a Instructure a pagar um resgate, o threat actor atacou a empresa novamente em 7 de maio, usando a mesma vulnerabilidade explorada na intrusão inicial.
O ShinyHunters injetou JavaScript malicioso explorando falhas de XSS em recursos de conteúdo gerado por usuários, o que lhes deu acesso a sessões administrativas autenticadas e permitiu executar ações com privilégios elevados.
A Instructure confirmou que o problema de segurança explorado afetava o ambiente Free-for-Teacher, a versão gratuita e limitada do Canvas LMS voltada a educadores individuais.
Na ocasião, a organização acrescentou que retirou temporariamente o Canvas do ar para impedir a propagação da atividade maliciosa, determinar a causa e “aplicar salvaguardas adicionais”.
O ShinyHunters usou a falha para inserir uma mensagem nos portais de login do Canvas, avisando que a empresa, assim como as escolas que usam a plataforma, tinham até 12 de maio para entrar em contato e negociar um resgate.
A Instructure suspendeu as contas Free-For-Teacher até que os problemas fossem resolvidos. No entanto, o Canvas foi restaurado e voltou a ficar disponível em 9 de maio.
Agora, a empresa informou que chegou a um acordo com os hackers para evitar que os dados roubados fossem publicados na internet. Em comunicado publicado em seu site, a Instructure afirmou que proteger os dados de estudantes e de profissionais da educação foi sua motivação principal.
“Embora nunca exista certeza total ao lidar com criminosos cibernéticos, acreditamos que era importante adotar todas as medidas ao nosso alcance para dar aos clientes uma tranquilidade adicional, na medida do possível”, disse a empresa.
A Instructure não detalhou os termos do acordo, mas informou que ele significou que os dados foram devolvidos à empresa; houve “confirmação digital da destruição dos dados”; foi informada de que nenhum cliente da Instructure seria extorquido em decorrência do incidente; e o acordo cobre todos os clientes afetados, sem necessidade de que indivíduos negociem com os hackers.
Embora nem a empresa nem os hackers tenham afirmado explicitamente que houve pagamento em dinheiro, grupos de extorsão cibernética como o ShinyHunters costumam exigir transferências em bitcoin após negociações por canais criptografados.
Pagar criminosos cibernéticos vai contra a orientação de autoridades policiais em todo o mundo, porque isso pode incentivar novos ataques e não oferece garantia de que os dados tenham sido realmente apagados. Em casos anteriores, criminosos aceitaram pagamentos de resgate, mas mentiram sobre a destruição dos dados roubados e, na prática, os mantiveram para revenda, como ocorreu quando o grupo de ransomware LockBit foi invadido pela National Crime Agency.
É incomum que vítimas de ciberataques admitam publicamente ter pago hackers, mas a Instructure tem mantido um alto nível de transparência, com atualizações frequentes em seu site. Essa postura pode ser, em parte, resultado da grande visibilidade do ataque e do impacto direto sobre os estudantes.
Os estudantes que estavam fazendo provas foram os mais afetados, perdendo acesso ao Canvas para estudar e, em alguns casos, tendo exames on-line interrompidos. Aubrey Palmer, estudante de meteorologia da Mississippi State University, contou à BBC que, junto com outros alunos, havia acabado de concluir uma redação de prova com 2.900 palavras quando uma mensagem de resgate apareceu de repente nas telas.
O aviso dizia: “ShinyHunters invadiu a Instructure mais uma vez.”
A mensagem ameaçava divulgar os dados roubados caso um resgate em bitcoin não fosse pago pelo Canvas ou pelas universidades afetadas.
“Minha reação imediata foi achar que eu mesma tinha sido hackeada, porque foi isso que parecia”, disse Palmer.
“Mas então eu li a nota de resgate e vi que era o Canvas que tinha sido invadido.”
Aubrey afirmou que o professor e dezenas de estudantes receberam a mesma mensagem, e que houve confusão na sala de prova sobre se o trabalho havia sido salvo. Mais tarde, a Mississippi State University informou que algumas provas seriam adiadas para permitir que os estudantes recuperassem o trabalho perdido.
O ShinyHunters é conhecido por invadir organizações, roubar dados e depois pressionar publicamente as vítimas para que paguem resgates em bitcoin. O grupo já foi ligado a outras invasões, incluindo ataques à Jaguar Land Rover e à Gucci. Os criminosos falam inglês e acredita-se que sejam jovens.
Em mensagens trocadas com a BBC pelo Telegram, o ShinyHunters afirmou que havia invadido o Canvas duas vezes antes do ataque da última quinta-feira. A Instructure revelou um data breach em setembro de 2025 em uma publicação em seu blog. O ShinyHunters também afirmou ter invadido a empresa novamente em abril de 2026, antes do ataque de 29 de abril.
Questionado sobre o impacto do estresse e da interrupção causados a estudantes como Aubrey Palmer, o grupo respondeu: “Não vamos comentar isso.”
O grupo também não informou quanto teria recebido da Instructure.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...