**Instructure**, la société derrière le populaire système de gestion de l'apprentissage (LMS) **Canvas**, est confrontée à un incident de cybersécurité majeur. Une récente violation aurait exposé les données de millions d'étudiants et de membres du personnel de nombreux établissements d'enseignement. ### Détails de la violation Vendredi dernier, **Instructure** a annoncé qu'elle enquêtait sur une cyberattaque, qui a ensuite été confirmée comme une violation de données. Les noms d'utilisateur, les adresses e-mail et les messages privés ont potentiellement été exposés. Le gang d'extorsion **ShinyHunters** a revendiqué la responsabilité de l'attaque, affirmant avoir exfiltré 280 millions d'enregistrements appartenant à des étudiants, des enseignants et du personnel. Ces données proviendraient de 8 809 universités, districts scolaires et plateformes d'éducation en ligne qui utilisent **Canvas**.  *Liste d'Instructure sur le site de fuite de données de ShinyHunters* **ShinyHunters** a publié une liste d'établissements d'enseignement prétendument affectés, ainsi que le nombre d'enregistrements pour chacun. Ces chiffres varient de dizaines de milliers à plusieurs millions par établissement. BleepingComputer a choisi de ne pas publier la liste des établissements concernés en raison du manque de vérification indépendante. Les acteurs de la menace affirment avoir exploité les fonctionnalités d'exportation de données de **Canvas**, y compris les requêtes DAP, les rapports de provisionnement et les API utilisateur, pour récolter des centaines de gigaoctets d'enregistrements d'utilisateurs, de messages et de données d'inscription. ### Réponse institutionnelle Bien qu'**Instructure** n'ait pas encore répondu aux demandes de commentaires, certaines universités ont commencé à publier des déclarations concernant l'impact potentiel : * L'**University of Colorado Boulder** a averti d'une violation de données à l'échelle nationale affectant plusieurs institutions utilisant **Canvas**. * **Rutgers** a déclaré qu'ils n'avaient pas été informés d'un impact direct sur leur campus et que **Canvas** restait opérationnel. * L'**Université de Tilburg** enquête sur l'incident et tente de déterminer l'étendue de l'impact sur ses étudiants et son personnel. BleepingComputer a contacté **Instructure** pour obtenir plus d'informations et mettra à jour cet article à mesure que plus de détails seront disponibles. ## 99% de ce que Mythos a trouvé n'est toujours pas corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. Réservez votre place