**Instructure**, le développeur de **Canvas**, un système de gestion de l'apprentissage (LMS) largement utilisé, est aux prises avec les conséquences d'une récente cyberattaque. L'incident a impliqué plusieurs vulnérabilités de type cross-site scripting (XSS), permettant aux attaquants d'obtenir des sessions administratives authentifiées. **Violation initiale et tentative d'extorsion** Selon **Instructure**, la violation initiale a eu lieu le 29 avril. L'entreprise a détecté un accès non autorisé, a immédiatement révoqué cet accès, a lancé une enquête et a fait appel à des experts externes en criminalistique. Quelques jours plus tard, les données volées ont été publiées sur le site de fuite de données de **ShinyHunters**. Les acteurs de la menace ont affirmé avoir volé plus de 3,6 téraoctets de données non compressées. **Défiguration de Canvas et message d'extorsion** Le 7 mai, **ShinyHunters** a utilisé la même vulnérabilité pour réintégrer les systèmes d'**Instructure** et injecter du JavaScript malveillant, exploitant les bugs XSS dans les fonctionnalités de contenu généré par les utilisateurs. Cela leur a donné accès à des sessions administratives authentifiées et leur a permis d'effectuer des actions privilégiées. Les attaquants ont ensuite défiguré les portails de connexion de **Canvas**, laissant un message avertissant **Instructure** et les écoles utilisant la plateforme de les contacter avant le 12 mai pour négocier une rançon. **Impact sur les comptes Free-for-Teacher** **Instructure** a confirmé que le problème de sécurité exploité affectait l'environnement Free-for-Teacher, la version gratuite et limitée du LMS **Canvas** pour les éducateurs individuels. « L'acteur non autorisé a apporté des modifications aux pages qui apparaissaient lorsque certains étudiants et enseignants se connectaient via **Canvas** », a déclaré **Instructure** dans une mise à jour de l'incident. **Instructure** a temporairement mis **Canvas** hors ligne pour empêcher l'activité malveillante, déterminer la cause et mettre en œuvre des mesures de sécurité supplémentaires. La plateforme a été restaurée depuis le 9 mai, mais les comptes Free-For-Teacher restent hors ligne jusqu'à la résolution des problèmes.  **Données potentiellement compromises** Bien que la défiguration des portails de connexion de **Canvas** n'ait pas directement compromis les données, les données exfiltrées lors de la violation initiale incluent probablement des noms d'utilisateur, des adresses e-mail, des noms de cours, des informations d'inscription et des messages. **Étendue de la violation** **ShinyHunters** affirme que la violation affecte 8 809 organisations éducatives et qu'ils ont volé 275 millions d'enregistrements appartenant à des étudiants, des enseignants et d'autres membres du personnel.  ## [99 % de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet sur la validation autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la chaîne de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)