### Les portails de connexion Canvas défigurés **Instructure**, la société derrière le populaire système de gestion de l'apprentissage **Canvas**, est aux prises avec les conséquences d'une deuxième attaque prétendument perpétrée par le groupe d'extorsion **ShinyHunters**. Les attaquants ont exploité une vulnérabilité pour défigurer les portails de connexion **Canvas**, impactant environ 330 établissements d'enseignement. Les pages défigurées affichaient un message revendiquant la responsabilité d'une violation antérieure et exigeant une rançon pour empêcher la publication de données étudiantes volées. Les défigurations, qui ont été visibles pendant environ 30 minutes avant d'être mises hors ligne, ont averti **Instructure** et les écoles affectées de contacter le groupe avant le 12 mai pour négocier un règlement. Le message indiquait que si leurs demandes étaient ignorées, les données des étudiants seraient divulguées. "ShinyHunters a violé Instructure (encore). Au lieu de nous contacter pour résoudre le problème, ils nous ont ignorés et ont effectué des 'correctifs de sécurité'," pouvait-on lire sur la défiguration.  *Page de connexion Canvas défigurée de l'Université du Texas à San Antonio* ### Violation antérieure et allégations de vol de données Cet incident fait suite à la récente divulgation par **Instructure** qu'ils enquêtaient sur une cyberattaque. **ShinyHunters** a affirmé avoir volé 280 millions d'enregistrements d'étudiants et de personnel de 8 809 écoles, universités et plateformes éducatives utilisant le système **Canvas**. Les données volées comprendraient des enregistrements d'utilisateurs, des messages privés, des données d'inscription et d'autres informations obtenues via les fonctionnalités d'exportation de données et les API de **Canvas**. **Instructure** a confirmé la violation de données et a déclaré qu'ils continuaient d'enquêter sur l'incident. BleepingComputer rapporte qu'ils ont contacté **Instructure** à plusieurs reprises pour obtenir des commentaires, y compris des questions sur la notification des étudiants et du personnel concernés, mais n'ont reçu aucune réponse. ### Qui est ShinyHunters ? Le nom **ShinyHunters** a été lié à de nombreux acteurs malveillants impliqués dans des violations de données depuis 2018. Cette année, des groupes utilisant le nom **ShinyHunters** sont devenus de plus en plus actifs dans le vol de données et les attaques par extorsion ciblant des organisations du monde entier. Ils se sont principalement concentrés sur **Salesforce** et d'autres environnements cloud SaaS, et ont été associés à des violations affectant des entreprises telles que **Google**, **Cisco**, **PornHub** et **Match Group**. Leurs tactiques comprennent la violation d'entreprises d'intégration tierces et l'utilisation de jetons d'authentification volés pour accéder aux données des clients. Ils sont également connus pour mener des attaques de phishing vocal (vishing) ciblant les comptes de connexion unique (SSO) **Okta**, **Microsoft** et **Google**. Comme BleepingComputer l'a précédemment rapporté, **ShinyHunters** a adopté des attaques de vishing par code d'appareil pour obtenir des jetons d'authentification **Microsoft Entra**. Après avoir volé des identifiants et des codes d'authentification, les attaquants détournent les comptes SSO pour violer les services d'entreprise connectés tels que **Salesforce**, **Microsoft 365**, **Google Workspace**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk** et **Dropbox**. Bien que des membres individuels aient été arrêtés, le groupe **ShinyHunters** continue d'opérer, proposant même l'extorsion en tant que service à d'autres acteurs malveillants. <!--HubSpot Ad-->