**Instructure** admitiu ter pago um resgate a um grupo descentralizado de extorsão cibercriminosa após uma violação de sua rede. A empresa, conhecida por seu sistema de gerenciamento de aprendizado **Canvas**, fez este anúncio após os atacantes ameaçarem vazar dados roubados de milhares de escolas e universidades. ### Pagamento de Resgate Confirmado Em um comunicado divulgado na segunda-feira, a empresa sediada em Utah declarou que "chegou a um acordo com o ator não autorizado envolvido neste incidente", citando preocupações sobre a potencial publicação de dados. A decisão de pagar o resgate, um movimento controverso, foi tomada para evitar um vazamento, com o acordo cobrindo todos os clientes afetados. A **Instructure** afirma que os dados roubados foram devolvidos e confirmados digitalmente como destruídos. A empresa também declarou que foi informada de que nenhum cliente seria extorquido separadamente como resultado do hack. "Embora nunca haja certeza completa ao lidar com cibercriminosos, acreditamos que foi importante tomar todas as medidas dentro do nosso controle para dar aos clientes uma tranquilidade adicional, na medida do possível", afirmou a **Instructure**. ### Análise Forense e Melhorias de Segurança A empresa está colaborando com fornecedores especializados para apoiar a análise forense, aprimorar suas defesas de cibersegurança e realizar uma revisão completa dos dados comprometidos. ### ShinyHunters Assume Responsabilidade A violação decorre de um ataque do grupo de extorsão **ShinyHunters**, que visou o **Canvas** no mês passado, levando ao roubo de 3,65 TB de dados. Este incidente afetou quase 9.000 organizações. Embora a violação tenha sido inicialmente considerada contida, uma segunda onda de atividade não autorizada ocorreu em 7 de maio de 2026, adulterando os portais de login do **Canvas** em cerca de 330 instituições com mensagens de extorsão, estabelecendo um prazo de 12 de maio de 2026 para a **Instructure** negociar. ### Exploração de Vulnerabilidade Os atacantes teriam explorado uma vulnerabilidade não especificada relacionada a tickets de suporte no ambiente Free-for-Teacher para obter acesso inicial. Isso permitiu que eles roubassem aproximadamente 275 milhões de registros contendo nomes de usuário, endereços de e-mail, nomes de cursos, informações de matrícula e mensagens. A **Instructure** enfatiza que o conteúdo do curso, submissões e credenciais não foram comprometidos. ### Passos de Remediação Após a violação, a **Instructure** desativou temporariamente as contas Free-For-Teacher. Embora a empresa não tenha divulgado a natureza específica da vulnerabilidade, ela revogou credenciais privilegiadas e tokens de acesso para sistemas afetados, rotacionou chaves internas, restringiu caminhos de criação de tokens e implementou controles de segurança adicionais. ### Risco de Phishing "Os dados exfiltrados fornecem aos atores de ameaças contexto pessoal suficiente para realizar campanhas de phishing direcionadas contra funcionários, alunos e pais", alertou **Halcyon**. "Registros vazados podem ser usados para se passar por administradores escolares, suporte de TI ou escritórios de ajuda financeira em ataques subsequentes. Alunos, pais e pessoal em instituições afetadas devem ser considerados, e as instituições devem emitir avisos de phishing e comunicações diretas imediatamente."