**Instructure**, la empresa detrás del popular sistema de gestión de aprendizaje (LMS) **Canvas**, está afrontando un incidente de ciberseguridad importante. Una reciente brecha ha expuesto presuntamente los datos de millones de estudiantes y personal en numerosas instituciones educativas. ### Detalles de la Brecha El pasado viernes, **Instructure** comunicó que estaba investigando un ciberataque, que posteriormente confirmó como una brecha de datos. Nombres de usuario, direcciones de correo electrónico y mensajes privados fueron potencialmente expuestos. La banda extorsionadora **ShinyHunters** ha reclamado la responsabilidad del ataque, afirmando que exfiltró 280 millones de registros pertenecientes a estudiantes, profesores y personal. Estos datos supuestamente provienen de 8.809 colegios, distritos escolares y plataformas de educación en línea que utilizan **Canvas**.  *Listado de Instructure en el sitio de filtración de datos de ShinyHunters* **ShinyHunters** ha publicado una lista de instituciones educativas supuestamente afectadas, junto con el recuento de registros para cada una. Estos recuentos varían desde decenas de miles hasta varios millones por institución. BleepingComputer ha optado por no publicar la lista de instituciones afectadas debido a la falta de verificación independiente. Los actores de amenazas afirman haber aprovechado las funciones de exportación de datos de **Canvas**, incluyendo consultas DAP, informes de aprovisionamiento y APIs de usuario, para recolectar cientos de gigabytes de registros de usuarios, mensajes y datos de inscripción. ### Respuesta Institucional Si bien **Instructure** aún no ha respondido a las solicitudes de comentarios, algunas universidades han comenzado a emitir declaraciones sobre el impacto potencial: * La **University of Colorado Boulder** advirtió sobre una brecha de datos a nivel nacional que afecta a múltiples instituciones que utilizan **Canvas**. * **Rutgers** declaró que no han sido notificados de ningún impacto directo en su campus y que **Canvas** permanece operativo. * La **Tilburg University** está investigando el incidente y tratando de determinar el alcance del impacto en sus estudiantes y personal. BleepingComputer se ha puesto en contacto con **Instructure** para obtener más información y actualizará esta noticia a medida que se disponga de más detalles. ## El 99% de lo que Mythos encontró sigue sin parchear. AI encadenó cuatro zero-days en un solo exploit que eludió los sandboxes tanto del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits. En la Autonomous Validation Summit (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, prueba que los controles se mantienen y cierra el ciclo de remediación. Reserva tu Lugar