Um ataque contínuo de extorsão de dados visando a plataforma de tecnologia educacional amplamente utilizada **Canvas** interrompeu aulas e trabalhos de casa em distritos escolares e universidades nos Estados Unidos hoje, após um grupo de cibercriminosos adulterar a página de login do serviço com uma exigência de resgate que ameaçava vazar dados de 275 milhões de estudantes e professores em quase 9.000 instituições educacionais.  A **Instructure**, empresa-mãe do Canvas, respondeu aos ataques de adulteração desativando a plataforma. O Canvas é usado por milhares de escolas, universidades e empresas para gerenciar trabalhos de casa, tarefas e comunicação com os alunos. ### Brecha Inicial e Exigência de Resgate A Instructure reconheceu uma violação de dados no início da semana, após a **ShinyHunters** reivindicar responsabilidade, ameaçando vazar dados de dezenas de milhões de estudantes e professores, a menos que um resgate fosse pago. O prazo inicial era 6 de maio, posteriormente estendido para 12 de maio. Em um comunicado em 6 de maio, a Instructure declarou que os dados roubados incluíam "certas informações de identificação de usuários em instituições afetadas, como nomes, endereços de e-mail e números de identificação de estudante, bem como mensagens entre usuários". Eles não encontraram evidências de comprometimento de dados mais sensíveis, como senhas ou informações financeiras. A empresa inicialmente afirmou que o incidente estava contido. No entanto, em 7 de maio, os usuários relataram ver a exigência de resgate da ShinyHunters na página de login do Canvas, levando a Instructure a tirar a plataforma do ar. ### Táticas de Extorsão e Impacto Potencial A mensagem de extorsão instou as escolas afetadas a negociarem pagamentos de resgate para evitar a publicação de dados, independentemente das ações da Instructure. Uma fonte próxima à investigação indicou que algumas universidades já contataram a ShinyHunters. O grupo também removeu a Instructure de seu blog de vazamento de dados, sugerindo potenciais negociações ou pagamentos. ### Crítica da Cloudskope **Dipan Mann**, fundador e CEO da **Cloudskope**, criticou a Instructure por rotular a interrupção como "manutenção programada". Mann destacou que esta é pelo menos a terceira violação da Instructure pela ShinyHunters nos últimos oito meses. Ele apontou para um incidente em setembro de 2025, onde a ShinyHunters divulgou arquivos da Universidade da Pensilvânia através de um caminho de acesso mediado pelo Canvas/Instructure. Mann argumenta que o incidente anterior foi uma prova de conceito, e os eventos atuais representam uma escalada do padrão de ataque. ### Modus Operandi da ShinyHunters A ShinyHunters é conhecida por roubo de dados e extorsão, muitas vezes obtendo acesso através de phishing por voz e engenharia social, se passando por pessoal de TI. Mês passado, eles visaram a **ADT**, roubando informações pessoais de 5,5 milhões de clientes ao comprometer a conta de single sign-on **Okta** de um funcionário. Eles também reivindicaram responsabilidade por ataques contra **Medtronic**, **Rockstar Games**, **McGraw Hill**, **7-Eleven** e **Carnival**. ### Avaliação da Mandiant **Charles Carmakal**, CTO da **Mandiant Consulting**, observou que a ShinyHunters está atualmente executando múltiplas campanhas de intrusão e extorsão simultâneas. ### Resposta da Instructure e Implicações Futuras Mann, da Cloudskope, sugere que o resultado depende se os clientes da Instructure pressionam a empresa ou absorvem a violação silenciosamente. **Atualização:** A Instructure publicou desde então uma atualização do incidente, afirmando que o Canvas está operacional novamente e que os hackers exploraram um problema relacionado a contas Free-for-Teacher. Eles desativaram temporariamente essas contas e notificaram as organizações afetadas.