**Instructure**, a desenvolvedora do **Canvas**, um sistema de gerenciamento de aprendizado (LMS) amplamente utilizado, está lidando com as consequências de um recente ciberataque. O incidente envolveu múltiplas vulnerabilidades de cross-site scripting (XSS), permitindo que atacantes obtivessem sessões de administrador autenticadas. **Violação Inicial e Tentativa de Extorsão** De acordo com a **Instructure**, a violação inicial ocorreu em 29 de abril. A empresa detectou acesso não autorizado, revogou imediatamente o acesso, iniciou uma investigação e contratou especialistas forenses externos. Poucos dias depois, os dados roubados foram publicados no site de vazamento de dados do **ShinyHunters**. Os atores da ameaça alegaram ter roubado mais de 3,6 terabytes de dados não compactados. **Defacement do Canvas e Mensagem de Extorsão** Em 7 de maio, o **ShinyHunters** usou a mesma vulnerabilidade para reentrar nos sistemas da **Instructure** e injetar JavaScript malicioso, explorando os bugs de XSS em recursos de conteúdo gerado pelo usuário. Isso lhes deu acesso a sessões de administrador autenticadas e permitiu que realizassem ações privilegiadas. Os atacantes então alteraram os portais de login do **Canvas**, deixando uma mensagem alertando a **Instructure** e as escolas que usam a plataforma para contatá-los até 12 de maio para negociar um resgate. **Impacto nas Contas Gratuitas para Professores (Free-for-Teacher)** A **Instructure** confirmou que a questão de segurança explorada afetou o ambiente Free-for-Teacher, a versão gratuita e limitada do **Canvas** LMS para educadores individuais. "O ator não autorizado fez alterações nas páginas que apareciam quando alguns alunos e professores estavam logados através do **Canvas**", declarou a **Instructure** em uma atualização do incidente. A **Instructure** temporariamente tirou o **Canvas** do ar para prevenir a atividade maliciosa, determinar a causa e implementar salvaguardas adicionais. A plataforma foi restaurada desde 9 de maio, mas as contas Free-For-Teacher permanecem offline até que os problemas sejam resolvidos.  **Dados em Risco** Embora a alteração dos portais de login do **Canvas** não tenha comprometido diretamente os dados, os dados exfiltrados durante a violação inicial provavelmente incluem nomes de usuário, endereços de e-mail, nomes de cursos, informações de matrícula e mensagens. **Escala da Violação** O **ShinyHunters** afirma que a violação afeta 8.809 organizações educacionais e que roubaram 275 milhões de registros pertencentes a alunos, professores e outros membros da equipe.  ## [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderer e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)