### Portais de Login do Canvas Invadidos A **Instructure**, empresa por trás do popular sistema de gerenciamento de aprendizado **Canvas**, está lidando com as consequências de um segundo ataque supostamente perpetrado pelo grupo de extorsão **ShinyHunters**. Os atacantes exploraram uma vulnerabilidade para invadir os portais de login do **Canvas**, afetando aproximadamente 330 instituições educacionais. As páginas invadidas exibiam uma mensagem reivindicando responsabilidade por uma violação anterior e exigindo um resgate para evitar a divulgação de dados roubados de alunos. As invasões, que ficaram visíveis por cerca de 30 minutos antes de serem retiradas do ar, alertavam a **Instructure** e as escolas afetadas para contatarem o grupo até 12 de maio para negociar um acordo. A mensagem afirmava que, se suas exigências fossem ignoradas, os dados dos alunos seriam vazados. "ShinyHunters invadiu a Instructure (de novo). Em vez de nos contatar para resolver, eles nos ignoraram e fizeram alguns 'patches de segurança'," dizia a mensagem de invasão.  *Página de login do Canvas da Universidade de Texas San Antonio invadida* ### Violação Anterior e Alegações de Roubo de Dados Este incidente segue a recente divulgação da **Instructure** de que estavam investigando um ataque cibernético. O **ShinyHunters** alegou ter roubado 280 milhões de registros de alunos e funcionários de 8.809 escolas, universidades e plataformas educacionais que utilizam o sistema **Canvas**. Os dados roubados supostamente incluem registros de usuários, mensagens privadas, dados de matrícula e outras informações obtidas através de recursos de exportação de dados e APIs do **Canvas**. A **Instructure** confirmou a violação de dados e declarou que continua investigando o incidente. O BleepingComputer relata que contatou repetidamente a **Instructure** para comentários, incluindo perguntas sobre a notificação de alunos e funcionários afetados, mas não recebeu resposta. ### Quem é ShinyHunters? O nome **ShinyHunters** tem sido associado a inúmeros atores de ameaças envolvidos em violações de dados desde 2018. Este ano, grupos usando o nome **ShinyHunters** tornaram-se cada vez mais ativos em ataques de roubo de dados e extorsão visando organizações em todo o mundo. Eles se concentraram principalmente em **Salesforce** e outros ambientes SaaS em nuvem, e foram conectados a violações que afetaram empresas como **Google**, **Cisco**, **PornHub** e **Match Group**. Suas táticas incluem a invasão de empresas de integração de terceiros e o uso de tokens de autenticação roubados para acessar dados de clientes. Eles também são conhecidos por realizar ataques de phishing por voz (vishing) visando contas de single sign-on (SSO) da **Okta**, **Microsoft** e **Google**. Como o BleepingComputer relatou anteriormente, **ShinyHunters** adotou ataques de vishing com código de dispositivo para obter tokens de autenticação do **Microsoft Entra**. Após roubar credenciais e códigos de autenticação, os atacantes sequestram contas SSO para invadir serviços corporativos conectados como **Salesforce**, **Microsoft 365**, **Google Workspace**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk** e **Dropbox**. Embora membros individuais tenham enfrentado prisões, o grupo **ShinyHunters** continua operando, oferecendo até mesmo extorsão como serviço para outros atores de ameaças. <!--HubSpot Ad-->