A Câmara dos Representantes dos EUA, através do Comitê de Segurança Interna, está exigindo respostas da **Instructure** após dois ciberataques realizados pelo grupo de extorsão **ShinyHunters**, que comprometeram a plataforma **Canvas** da empresa. As violações resultaram no roubo de dados de estudantes e causaram interrupções significativas nas escolas, especialmente durante os exames finais. ### Investigação do Congresso Iniciada Em uma carta endereçada ao CEO da **Instructure**, Steve Daly, o presidente do Comitê de Segurança Interna, **Andrew R. Garbarino**, declarou que o comitê está investigando a violação em massa que afeta milhões de estudantes. A carta destaca a gravidade dos incidentes e o impacto potencial nas instituições educacionais. "O Comitê de Segurança Interna (Comitê) está investigando os relatórios preocupantes relacionados a incidentes recentes de cibersegurança que afetam a Instructure Holdings, Inc. e as dezenas de milhões de estudantes, educadores e administradores que dependem de sua plataforma de gerenciamento de aprendizado Canvas", lê-se na carta. O comitê enfatizou que o grupo **ShinyHunters** violou a **Instructure** duas vezes em uma única semana. ### Detalhes das Violações Conforme relatado anteriormente pelo BleepingComputer, a **Instructure** divulgou em 3 de maio que sofreu uma violação de dados. A empresa confirmou que a intrusão foi detectada em 29 de abril, revelando que atores de ameaça haviam comprometido sistemas e roubado dados pertencentes a estudantes e funcionários escolares que utilizavam o **Canvas**. De acordo com a **Instructure**, as informações expostas incluíam nomes, endereços de e-mail, números de identificação de estudantes e mensagens trocadas entre estudantes e professores na plataforma. Criticamente, os dados não incluíam senhas, informações financeiras ou identificadores governamentais. ### Alegações do ShinyHunters Em 3 de maio, a gangue de extorsão **ShinyHunters** reivindicou a responsabilidade pelo ataque, afirmando ter roubado 280 milhões de registros de dados de 8.809 faculdades, distritos escolares e plataformas de educação online. Os atores de ameaça compartilharam uma lista de organizações educacionais afetadas, com contagens de registros roubados variando de dezenas de milhares a vários milhões para cada instituição.  *Listagem da Instructure no site de vazamento de dados do ShinyHunters. Fonte: BleepingComputer* O grupo **ShinyHunters** também realizou um segundo ataque, alterando os portais de login do **Canvas** em escolas e universidades em todos os Estados Unidos. Essas alterações exibiam mensagens de extorsão exigindo que a **Instructure** negociasse com o grupo. Essa interrupção afetou instituições em vários estados durante atividades críticas do fim do semestre, forçando algumas faculdades a cancelar exames.  *Mensagem do ShinyHunters na página de login do Canvas da Universidade do Texas em San Antonio. Fonte: BleepingComputer* Posteriormente, foi revelado que os atores de ameaça exploraram múltiplas vulnerabilidades de cross-site scripting (XSS) para obter sessões de administrador autenticadas e modificar as páginas do portal de login. ### Instituições Afetadas e Resposta A carta do Comitê de Segurança Interna indica que escolas em vários estados, incluindo Califórnia, Flórida, Geórgia, Oklahoma, Oregon, Nevada, Carolina do Norte, Tennessee, Utah, Virgínia e Wisconsin, relataram interrupções relacionadas ao incidente. O comitê também observou que os atacantes alegaram ter visado a **Instructure** novamente porque a empresa se recusou a negociar inicialmente. ### Acordo Alcançado Pouco depois que o **ShinyHunters** removeu a **Instructure** de seu site de vazamento de dados, a **Instructure** divulgou que havia chegado a um acordo com o grupo para interromper o vazamento público e garantir que os dados roubados fossem excluídos. Embora a **Instructure** não tenha confirmado explicitamente o pagamento de um resgate, é incomum que grupos de extorsão excluam dados roubados ou cessem vazamentos sem alguma forma de pagamento ou acordo. A gangue de extorsão atualizou seu site de vazamento de dados com uma declaração afirmando que os dados foram destruídos e que as escolas não precisam contatá-los para negociação. "Não temos nada a acrescentar ou comentar sobre a situação recente na empresa de LMS. Se você é uma instituição afetada, não estamos buscando seu dinheiro. Por favor, parem todas as tentativas de nos contatar, o assunto foi resolvido", lê-se na atualização do **ShinyHunters**. "A Empresa e seus clientes não serão mais visados ou contatados para pagamento. Os dados são inexistentes." ### Escrutínio do Congresso O Comitê de Segurança Interna declarou que os compromissos repetidos levantam "sérias questões" sobre as capacidades de resposta a incidentes da **Instructure** e suas obrigações de proteger os dados que armazena. O comitê solicitou que a **Instructure** participe de um briefing até 21 de maio para discutir ambas as intrusões, os dados roubados, os esforços de contenção e notificação, e a coordenação com agências federais.