**Instructure**, a empresa por trás do popular sistema de gerenciamento de aprendizado (LMS) **Canvas**, está enfrentando um incidente de cibersegurança de grande porte. Uma violação recente expôs dados de milhões de alunos e funcionários em diversas instituições educacionais. ### Detalhes da Violação Na última sexta-feira, a **Instructure** divulgou que estava investigando um ciberataque, que mais tarde confirmou ser uma violação de dados. Nomes de usuário, endereços de e-mail e mensagens privadas foram potencialmente expostos. A gangue de extorsão **ShinyHunters** reivindicou a responsabilidade pelo ataque, afirmando ter exfiltrado 280 milhões de registros pertencentes a alunos, professores e funcionários. Esses dados supostamente se originam de 8.809 faculdades, distritos escolares e plataformas de educação online que utilizam o **Canvas**.  *Listagem da Instructure no site de vazamento de dados do ShinyHunters* O **ShinyHunters** publicou uma lista de instituições educacionais supostamente afetadas, juntamente com a contagem de registros para cada uma. Essas contagens variam de dezenas de milhares a vários milhões por instituição. O BleepingComputer optou por não publicar a lista de instituições impactadas devido à falta de verificação independente. Os atores de ameaça afirmam ter aproveitado os recursos de exportação de dados do **Canvas**, incluindo consultas DAP, relatórios de provisionamento e APIs de usuário, para coletar centenas de gigabytes de registros de usuários, mensagens e dados de matrícula. ### Resposta Institucional Embora a **Instructure** ainda não tenha respondido aos pedidos de comentários, algumas universidades começaram a emitir declarações sobre o impacto potencial: * A **University of Colorado Boulder** alertou sobre uma violação de dados nacional afetando várias instituições que usam o **Canvas**. * **Rutgers** declarou que não foi notificada de qualquer impacto direto em seu campus e que o **Canvas** permanece operacional. * A **Tilburg University** está investigando o incidente e tentando determinar a extensão do impacto em seus alunos e funcionários. O BleepingComputer contatou a **Instructure** para obter mais informações e atualizará esta notícia à medida que mais detalhes estiverem disponíveis. ## 99% do que a Mythos Encontrou Ainda Não Foi Corrigido. A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação. Garanta Sua Vaga