TL, DR *
ShinyHunters violou o Sistema de Gerenciamento de Aprendizagem Instrucional Canvas, violando 3,65 terabytes de dados de 275 milhões de usuários em 9.000 instituições em todo o mundo, incluindo mensagens de alunos e professores. Quarenta e quatro universidades e escolas holandesas foram confirmadas, e a segunda violação na estrutura de risco instrucional de oito meses do fornecedor foi retirada na tecnologia educacional.
A maior violação de dados na história da educação não foi um ataque à escola. Foi um ataque ao vendedor. Em 30 de abril, hackers exploraram uma vulnerabilidade no Profitable Instructional System, a empresa que fabrica o Canvas, um sistema de gerenciamento de estudos usado por 41% das instituições de ensino superior na América do Norte.
O grupo criminoso ShinyHunters, que anteriormente orquestrou a cadeia de ataques Snowflake que cometeu a Ticketmaster e a AT&T, afirma ter roubado 3,65 terabytes de dados que afetam 275 milhões de usuários em quase 9.000 instituições educacionais, incluindo mensagens privadas entre alunos, professores e funcionários.
Espaço TNW City Coworking – onde o melhor trabalho é feito
Um espaço de trabalho para crescimento, colaboração e oportunidades infinitas de networking no coração da tecnologia.
na Bélgica 44 universidades e escolas de ciências aplicadas são apoiadas pela Universidade de Amsterdã e pela Vrije Universitätte de Haia.. As autoridades holandesas disseram aos estudantes e funcionários para estarem vigilantes. Eles disseram ao fórum A instrução para pagar até 8 de maio ou acesso a informações públicas.
E a violação expõe uma vulnerabilidade estrutural na forma como a educação atua: as escolas não queriam ser atacadas e não podiam impedi-lo, porque a decisão de entregar os alunos a um único fornecedor foi tomada há anos e a segurança do fornecedor nunca esteve sob o seu controlo.
Empresa
A infraestrutura foi fundada em 2008 e transformou o Canvas na plataforma de aprendizagem dominante nos Estados Unidos, alcançando 31% do mercado norte-americano de LMS de ensino superior em 2018. A empresa abriu o capital em 2015, foi adquirida de forma privada por Thomas Bravo por dois bilhões de dólares em 2020 e foi vendida novamente para KKR e Dragoneer Investment Group em novembro de 2024 por 4,8 bilhões de dólares.
A empresa opera agora como uma entidade privada de um dos maiores fornecedores alternativos do mundo, servindo aproximadamente 200 milhões de alunos em mais de 100 países. Seus produtos incluem Canvas LMS, Canvas Studio para aprendizagem baseada em vídeo e Mastery Assessment para rastreamento de competências. uma plataforma no cotidiano educacional de alunos do ensino médio à pós-graduação, gerenciando materiais didáticos, submissões, notas, mensagens críticas direcionadas entre alunos e educadores.
Esta é a segunda interrupção confirmada da Instrução em cerca de oito meses. Em setembro de 2025, ShinyHunters lançou um ataque de engenharia social contra o ambiente Salesforce da empresa. Em abril de 2026, um ataque causou uma vulnerabilidade nos sistemas de produção da Instructure, que a empresa afirma já ter sido corrigida. O diretor de segurança da informação, Steve Proud, notificou os clientes em 1º de maio de que a empresa havia passado por um incidente de segurança cibernética, confirmando que os dados abertos poderiam incluir nomes, e-mails, números de identificação de alunos e mensagens da caixa de entrada e discussão do Canvas.
A empresa afirma que não há evidências de que aniversários, identificadores governamentais, informações financeiras ou senhas sejam roubados. Mas a inclusão de mensagens privadas, que podem conter números de telefone, endereços residenciais e informações pessoais partilhadas com a expectativa de privacidade, torna a violação qualitativamente diferente de uma típica fuga de e-mail e nome.
atacantes
ShinyHunters é um grupo criminoso de hacking e extorsão que está ativo desde 2020 e se tornou um dos ladrões de dados mais prolíficos do mundo. Acredita-se que o grupo, com sede no Canadá e na França, inclua membros principais, especializados em atingir empresas que prestam serviços a múltiplas organizações, permitindo que uma única violação se espalhe por milhares de vítimas.
Em 2024, a ShinyHunters orquestrou a campanha da cadeia de abastecimento Snowflake, composta por aproximadamente 165 organizações, incluindo a Ticketmaster, onde 560 milhões foram expostos, e a AT&T, onde foram roubados dados de 110 milhões de clientes. A AT&T pagou um preço de 370 mil dólares para que os dados fossem excluídos. Em março de 2026, o ShinyHunters violou a Comissão Europeia, vazando 350 gigabytes de dados de 42 clientes internos e pelo menos 29 entidades da UE. O método do grupo consiste em: identificar um fornecedor ou plataforma com acesso a grandes volumes de dados, utilizar uma vulnerabilidade ou vetor de engenharia social, apagar os dados e exigir uma solução sob ameaça de divulgação pública.
A instrução de interrupção segue esse padrão com precisão. ShinyHunters no fórum dark web postou uma solicitação em 2 de maio, listando 8.809 distritos escolares, universidades e plataformas de educação online com uma contagem recorde por instituição. O grupo foi instruído a “ele tomará a decisão certa“antes do dia 6 de maio, posteriormente prorrogado até 8 de maio, ou a divulgação da informação completa com o que está descrito”.alguns problemas dos funcionários. Eles afirmam possuir bilhões de dólares em mensagens privadas.
A indústria da cibersegurança previu que em 2026 a segurança será impulsionada pela IA, com sistemas automatizados de detecção e resposta a ameaças atingindo a maturidade operacional. Fração da Instrução sugere que o nível intermediário de segurança e a postura do atacante do regime permanecem amplos, e que as organizações vulneráveis não são aquelas com a segurança mais fraca, mas aquelas cujos fornecedores têm o maior raio de exposição.
vulnerabilidade
O problema da ruptura estrutural manifesta-se na concentração de fornecedores. O Canvas domina seu mercado porque é bom: é uma plataforma bem projetada, confiável e profundamente integrada aos fluxos de trabalho institucionais. Mas o domínio significa que uma única violação de segurança numa empresa poderia aceder simultaneamente aos registos académicos e às comunicações privadas de estudantes em 9.000 instituições em dezenas de países. Escolas e universidades afetadas pelo hack não tiveram nenhum papel nas decisões de segurança, o que foi permitido. Não há consulta sobre a vulnerabilidade que está sendo explorada.
Eles não podem auditar de forma independente a segurança dos sistemas que armazenam dados dos alunos. Eles estão na linguagem da segurança cibernética, amni. A Europa está a deprimir e a reescrever o seu quadro regulamentar numa tentativa de equilibrar a inovação e a segurança, mas a violação do Canvas mostra que o sector da educação se encontra numa lacuna regulamentar: as escolas ao abrigo do RGPD e nos Países Baixos as obrigações de protecção de dados ao abrigo do RGPD e nos Países Baixos a nova Lei de Segurança Cibernética que transpõe o NIS2, no entanto, a capacidade de cumprir essas obrigações nos continentes de práticas de capital privado colocadas em segurança.
As lutas contínuas da UE para finalizar a Lei da IA destacam os seus desafios mais amplos: a regulamentação fica consistentemente atrás da velocidade com que a tecnologia recolhe dados e da velocidade com que os atacantes realizam esta intenção. O NIS2 impõe requisitos de comunicação de violações e multas de até 10 milhões de euros ou dois por cento do volume de negócios global por incumprimento, e a Lei de Resiliência Cibernética, que começa a ser aplicada em setembro de 2026, exigirá relatórios de vulnerabilidade para produtos com elementos digitais.
Mas a dependência do sector da educação de algumas plataformas dominantes significa que a conformidade a nível institucional não pode evitar perturbações a nível retalhista. As 44 instituições holandesas afetadas pela violação do Canvas estão em total conformidade com todos os regulamentos aplicáveis e ainda não tiveram a capacidade de prevenir ou mitigar o ataque.
Razão
A violação da infra-estrutura é o mais recente de uma série de ataques a fornecedores de tecnologia educacional que demonstram colectivamente o estatuto do sector como um dos alvos mais fáceis da economia global. Em dezembro de 2024, o PowerSchool, que fornece software administrativo para escolas de ensino fundamental e médio, foi hackeado e o invasor exigiu 2,85 milhões de dólares em resgate, que a empresa pagou.
As plataformas tecnológicas educativas tornaram-se algumas das aplicações de consumo mais utilizadas no mundo, com empresas como o Duolingo a reportar 56,5 milhões de utilizadores ativos diários, mas a maturidade da segurança da indústria não acompanhou o crescimento do número de utilizadores. O setor edtech recolhe informações sensíveis sobre menores, armazena comunicações académicas privadas e trabalha com uma base de utilizadores que tem capacidade limitada para se proteger. A combinação de um preço elevado, um baixo nível de segurança em comparação com outras regiões e uma base de utilizadores que inclui crianças torna a tecnologia um alvo atraente para grupos criminosos.
A questão de saber se o controlo digital europeu pode resgatar a inovação e a segurança não é uma questão abstracta para 44 instituições holandesas que agora aconselham os estudantes a alterar as suas palavras-passe e a monitorizar as suas contas. O modelo de propriedade de capital privado que moldou a trajetória da Instrução, desde a aquisição privada de dois bilhões de dólares da Thomas Bravo até a aquisição de US$ 4,8 bilhões da KKR, otimiza o crescimento da receita, a relação custo-benefício e os resultados. A questão é otimizar a segurança, a resposta é a violação. Canvas Infrastructure é um produto no qual 200 milhões de alunos podem confiar todos os dias.
A empresa de sua propriedade foi invadida duas vezes em oito meses pelo mesmo grupo criminoso. As escolas dizem que não há vulnerabilidade na arquitetura de segurança do fornecedor, nem visibilidade na sua gestão, nem capacidade de impedir o comprometimento dos dados dos seus alunos. Os alunos foram informados que a polícia. Vigilância, neste contexto, significa que a recepção desapareceu e espera que não esteja armada. O modelo vendedor, que é formado pela escala de treinamento, é o risco da escala ser contratada e o custo ser quebrado.



