### Portales de inicio de sesión de Canvas defazados **Instructure**, la empresa detrás del popular sistema de gestión de aprendizaje **Canvas**, se enfrenta a las consecuencias de un segundo ataque presuntamente perpetrado por el grupo extorsionador **ShinyHunters**. Los atacantes explotaron una vulnerabilidad para defazar los portales de inicio de sesión de **Canvas**, afectando aproximadamente a 330 instituciones educativas. Las páginas defazadas mostraban un mensaje reclamando la responsabilidad de una brecha anterior y exigiendo un rescate para evitar la publicación de datos robados de estudiantes. Las defazaciones, que estuvieron visibles durante unos 30 minutos antes de ser retiradas, advertían a **Instructure** y a las escuelas afectadas que debían contactar al grupo antes del 12 de mayo para negociar un acuerdo. El mensaje indicaba que si sus demandas eran ignoradas, se filtrarían los datos de los estudiantes. "ShinyHunters ha violado Instructure (otra vez). En lugar de contactarnos para resolverlo, nos ignoraron e hicieron algunos 'parches de seguridad'", se leía en la defazación.  *Página de inicio de sesión de Canvas de la Universidad de Texas San Antonio defazada* ### Brecha anterior y afirmaciones de robo de datos Este incidente sigue a la reciente divulgación de **Instructure** de que estaban investigando un ciberataque. **ShinyHunters** afirmó haber robado 280 millones de registros de estudiantes y personal de 8.809 escuelas, universidades y plataformas educativas que utilizan el sistema **Canvas**. Los datos robados supuestamente incluyen registros de usuarios, mensajes privados, datos de inscripción y otra información obtenida a través de las funciones de exportación de datos y las API de **Canvas**. **Instructure** ha confirmado la brecha de datos y declaró que continúa investigando el incidente. BleepingComputer informa que se han puesto en contacto repetidamente con **Instructure** para obtener comentarios, incluidas preguntas sobre la notificación a los estudiantes y al personal afectados, pero no han recibido respuesta. ### ¿Quién es ShinyHunters? El nombre **ShinyHunters** se ha vinculado a numerosos actores de amenazas involucrados en brechas de datos desde 2018. Este año, grupos que utilizan el nombre **ShinyHunters** se han vuelto cada vez más activos en ataques de robo de datos y extorsión dirigidos a organizaciones de todo el mundo. Se han centrado principalmente en **Salesforce** y otros entornos SaaS en la nube, y se les ha relacionado con brechas que afectan a empresas como **Google**, **Cisco**, **PornHub** y **Match Group**. Sus tácticas incluyen la violación de empresas de integración de terceros y el uso de tokens de autenticación robados para acceder a datos de clientes. También son conocidos por realizar ataques de phishing por voz (vishing) dirigidos a cuentas de inicio de sesión único (SSO) de **Okta**, **Microsoft** y **Google**. Como BleepingComputer informó anteriormente, **ShinyHunters** ha adoptado ataques de vishing con código de dispositivo para obtener tokens de autenticación de **Microsoft Entra**. Después de robar credenciales y códigos de autenticación, los atacantes secuestran cuentas SSO para violar servicios empresariales conectados como **Salesforce**, **Microsoft 365**, **Google Workspace**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk** y **Dropbox**. Aunque miembros individuales han enfrentado arrestos, el grupo **ShinyHunters** continúa operando, incluso ofreciendo extorsión como servicio a otros actores de amenazas. <!--HubSpot Ad-->