## Instructure confirme une violation de données **Instructure** a initialement signalé un incident de cybersécurité vendredi soir, déclenchant une enquête immédiate. Samedi, le responsable de la sécurité de l'information, Steve Proud, a confirmé que des attaquants avaient obtenu un accès non autorisé à des informations utilisateur, notamment des noms, des adresses e-mail, des numéros d'étudiant et des messages d'utilisateurs. Proud a déclaré que l'incident avait été contenu avec l'aide d'experts en cybersécurité. Les mesures de confinement comprenaient la révocation des identifiants privilégiés et des jetons d'accès, ainsi que le déploiement de correctifs de sécurité. Cependant, certaines de ces mesures ont temporairement perturbé les services pour les clients. Il est à noter qu'**Instructure** a affirmé qu'aucune information financière, aucun mot de passe ni aucun document gouvernemental n'avaient été compromis lors de l'attaque. ## ShinyHunters revendique la responsabilité Le groupe **ShinyHunters** a revendiqué la responsabilité de l'attaque dimanche, alléguant le vol de 3,6 To de données provenant de plus de 9 000 écoles. **Instructure** n'a pas encore commenté la validité de ces affirmations. Ce n'est pas la première fois qu'**Instructure** est ciblée par **ShinyHunters**. L'entreprise avait déjà été attaquée en septembre dans le cadre d'une campagne plus large visant les plateformes de stockage de données. ## Un schéma d'attaques Le groupe **ShinyHunters** est de plus en plus actif, avec des attaques récentes ciblant plusieurs organisations de premier plan, notamment **ADT**, **McGraw Hill** et **Rockstar**. Ils ont également ciblé précédemment des établissements d'enseignement tels que **Harvard** et l'**Université de Pennsylvanie**. ## La menace croissante pour les données éducatives Cet incident souligne la menace croissante pour les données éducatives détenues par des entreprises tierces. En janvier 2025, **PowerSchool** a subi une violation importante qui a exposé des données sensibles de millions d'élèves et d'enseignants. Cette violation, qui incluait des informations sensibles telles que le statut d'éducation spécialisée et des détails sur la santé mentale, a entraîné de multiples poursuites judiciaires alléguant des pratiques de cybersécurité inadéquates.