Ataque ao Canvas Interrompe Escolas e Universidades em Todo o País
Um ataque de extorsão de dados em andamento, visando a plataforma de tecnologia educacional Canvas, interrompeu aulas e trabalhos escolares em distritos escolares e universidades nos Estados Unidos. O grupo criminoso ShinyHunters defaceou a página de login do serviço com uma demanda de resgate, ameaçando vazar dados de 275 milhões de estudantes e professores.
MundiX News·13 de maio de 2026·5 min de leitura·👁 3 views
Um ataque de extorsão de dados em andamento, direcionado à plataforma de tecnologia educacional amplamente utilizada Canvas, interrompeu aulas e trabalhos escolares em distritos escolares e universidades em todos os Estados Unidos hoje, depois que um grupo de cibercriminosos desfigurou a página de login do serviço com uma demanda de resgate que ameaçava vazar dados de 275 milhões de estudantes e professores em quase 9.000 instituições educacionais.
A empresa-mãe do Canvas, Instructure [NYSE:INST], respondeu aos ataques de desfiguração de hoje desativando a plataforma, que é usada por milhares de escolas, universidades e empresas para gerenciar cursos e tarefas, e para se comunicar com os alunos. A Instructure reconheceu uma violação de dados no início desta semana, depois que o grupo de cibercriminosos ShinyHunters reivindicou a responsabilidade e disse que vazaria dados de dezenas de milhões de alunos e professores, a menos que fosse pago um resgate. O prazo estabelecido para o pagamento foi inicialmente definido para 6 de maio, mas foi posteriormente adiado para 12 de maio.
Em um comunicado em 6 de maio, a Instructure disse que a investigação até agora mostra que as informações roubadas incluem "certas informações de identificação de usuários em instituições afetadas, como nomes, endereços de e-mail e números de identificação de alunos, bem como mensagens entre usuários". A empresa disse que não encontrou evidências de que os dados violados incluíssem informações mais sensíveis, como senhas, datas de nascimento, identificadores governamentais ou informações financeiras. A atualização de 6 de maio afirmou que o Canvas estava totalmente operacional e que a Instructure não estava vendo nenhuma atividade não autorizada em andamento em sua plataforma. "Neste estágio, acreditamos que o incidente foi contido", escreveu a Instructure. No entanto, em meados do dia 7 de maio, estudantes e professores de dezenas de escolas e universidades estavam inundando as redes sociais com comentários dizendo que uma demanda de resgate do ShinyHunters havia substituído a página de login usual do Canvas. A Instructure respondeu retirando o Canvas do ar e substituindo o portal pela mensagem: "O Canvas está atualmente em manutenção programada. Volte em breve". "Prevemos que voltaremos em breve e forneceremos atualizações o mais rápido possível", diz a mensagem atual na página de status da Instructure.
Embora os dados roubados pelo ShinyHunters possam ou não conter informações particularmente sensíveis (ShinyHunters afirma que inclui vários bilhões de mensagens privadas entre alunos e professores, bem como nomes, números de telefone e endereços de e-mail), este ataque dificilmente poderia ter ocorrido em um momento pior para a Instructure: Muitas das escolas e universidades afetadas estão no meio dos exames finais, e uma interrupção prolongada pode ser altamente prejudicial para a empresa. A mensagem de extorsão que saudou inúmeros usuários do Canvas hoje aconselhou as escolas afetadas a negociar seus próprios pagamentos de resgate para evitar a publicação de seus dados - independentemente de a Instructure decidir pagar. "ShinyHunters invadiu a Instructure (novamente)", dizia a mensagem de extorsão. "Em vez de entrar em contato conosco para resolver, eles nos ignoraram e fizeram algumas 'correções de segurança'" Uma fonte próxima à investigação que não estava autorizada a falar com a imprensa disse ao KrebsOnSecurity que várias universidades já entraram em contato com o grupo de cibercriminosos sobre o pagamento. A mesma fonte também apontou que o blog de vazamento de dados do ShinyHunters não lista mais a Instructure entre suas vítimas atuais de extorsão e que as amostras de dados roubadas dos clientes do Canvas também foram removidas. Grupos de extorsão de dados como o ShinyHunters normalmente só removem as vítimas de seus sites de vazamento após receber um pagamento de extorsão ou após uma vítima concordar em negociar.
Dipan Mann, fundador e CEO da empresa de segurança Cloudskope, criticou a Instructure por se referir à interrupção de hoje como um evento de "manutenção programada" em sua página de status. Mann disse que o Shiny Hunters demonstrou pela primeira vez que havia invadido a Instructure em 1º de maio, levando o diretor de segurança da informação da Instructure, Steve Proud, a declarar no dia seguinte que o incidente havia sido contido. Mas Mann disse que o ataque de hoje é pelo menos a terceira vez nos últimos oito meses que a Instructure foi invadida pelo ShinyHunters. Em um post de blog hoje, Mann observou que, em setembro de 2025, o ShinyHunters lançou milhares de arquivos internos da Universidade da Pensilvânia - registros de doadores, memorandos internos e outros materiais confidenciais - por meio do que o Daily Pennsylvanian e outros veículos determinaram mais tarde que era, em parte, um caminho de acesso mediado pelo Canvas/Instructure. "Penn foi a vítima nomeada", escreveu Mann. "Instructure foi o mecanismo. O incidente foi tratado como uma história específica da Penn pela maior parte da imprensa nacional e tratado silenciosamente pela Instructure como uma questão específica do cliente. Essa estrutura estava errada então. É dramaticamente mais errada à luz dos eventos de maio de 2026, que agora parecem a escalada planejada de um padrão de ataque que o ShinyHunters vinha trabalhando contra o ambiente da Instructure por pelo menos oito meses antes. A violação da Penn em setembro de 2025 foi a prova de conceito. O incidente de 1º de maio de 2026 foi a execução da produção. A recompromisso de 7 de maio de 2026 foi o ShinyHunters demonstrando publicamente que a 'contenção' de 2 de maio não aconteceu." Em fevereiro, um porta-voz do ShinyHunters disse ao The Daily Pennsylvanian que Penn não pagou uma demanda de resgate de US$ 1 milhão. Em 5 de março, o ShinyHunters publicou 461 megabytes de dados roubados da Penn, incluindo milhares de arquivos, como registros de doadores e memorandos internos.
ShinyHunters é um grupo cibercriminoso prolífico e fluido que se especializa em roubo e extorsão de dados. Eles normalmente obtêm acesso às empresas por meio de ataques de phishing de voz e engenharia social que geralmente envolvem a personificação de pessoal de TI ou outros membros confiáveis de uma organização-alvo. No mês passado, o ShinyHunters aliviou a gigante de segurança doméstica ADT de informações pessoais de 5,5 milhões de clientes. O grupo de extorsão disse ao BleepingComputer que invadiu a empresa comprometendo a conta de logon único Okta de um funcionário em um ataque de phishing de voz que permitiu o acesso à instância Salesforce da ADT. O BleepingComputer diz que o ShinyHunters recentemente assumiu a responsabilidade por vários ataques de extorsão contra organizações de alto perfil, incluindo Medtronic, Rockstar Games, McGraw Hill, 7-Eleven e a operadora de cruzeiros Carnival. O ataque aos clientes do Canvas é apenas uma de várias grandes campanhas de cibercrime sendo lançadas pelo ShinyHunters no momento, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, de propriedade do Google. Carmakal se recusou a comentar especificamente sobre a violação do Canvas, mas disse que "há várias campanhas de intrusão e extorsão ShinyHunters simultâneas e discretas acontecendo agora". Mann, da Cloudskope, disse que o que acontece a seguir depende em grande parte de se os clientes da Instructure - as universidades, os distritos K-12 e os ministérios da educação que pagam pelo Canvas - optam por aplicar pressão ou absorver a violação silenciosamente. "A história dos incidentes de fornecedores de educação sugere que o caminho de menor resistência é o segundo", concluiu.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um ataque de extorsão de dados em andamento, direcionado à plataforma de tecnologia educacional amplamente utilizada Canvas, interrompeu aulas e trabalhos escolares em distritos escolares e universidades em todos os Estados Unidos hoje, depois que um grupo de cibercriminosos desfigurou a página de login do serviço com uma demanda de resgate que ameaçava vazar dados de 275 milhões de estudantes e professores em quase 9.000 instituições educacionais.
A empresa-mãe do Canvas, Instructure [NYSE:INST], respondeu aos ataques de desfiguração de hoje desativando a plataforma, que é usada por milhares de escolas, universidades e empresas para gerenciar cursos e tarefas, e para se comunicar com os alunos. A Instructure reconheceu uma violação de dados no início desta semana, depois que o grupo de cibercriminosos ShinyHunters reivindicou a responsabilidade e disse que vazaria dados de dezenas de milhões de alunos e professores, a menos que fosse pago um resgate. O prazo estabelecido para o pagamento foi inicialmente definido para 6 de maio, mas foi posteriormente adiado para 12 de maio.
Em um comunicado em 6 de maio, a Instructure disse que a investigação até agora mostra que as informações roubadas incluem "certas informações de identificação de usuários em instituições afetadas, como nomes, endereços de e-mail e números de identificação de alunos, bem como mensagens entre usuários". A empresa disse que não encontrou evidências de que os dados violados incluíssem informações mais sensíveis, como senhas, datas de nascimento, identificadores governamentais ou informações financeiras. A atualização de 6 de maio afirmou que o Canvas estava totalmente operacional e que a Instructure não estava vendo nenhuma atividade não autorizada em andamento em sua plataforma. "Neste estágio, acreditamos que o incidente foi contido", escreveu a Instructure. No entanto, em meados do dia 7 de maio, estudantes e professores de dezenas de escolas e universidades estavam inundando as redes sociais com comentários dizendo que uma demanda de resgate do ShinyHunters havia substituído a página de login usual do Canvas. A Instructure respondeu retirando o Canvas do ar e substituindo o portal pela mensagem: "O Canvas está atualmente em manutenção programada. Volte em breve". "Prevemos que voltaremos em breve e forneceremos atualizações o mais rápido possível", diz a mensagem atual na página de status da Instructure.
Embora os dados roubados pelo ShinyHunters possam ou não conter informações particularmente sensíveis (ShinyHunters afirma que inclui vários bilhões de mensagens privadas entre alunos e professores, bem como nomes, números de telefone e endereços de e-mail), este ataque dificilmente poderia ter ocorrido em um momento pior para a Instructure: Muitas das escolas e universidades afetadas estão no meio dos exames finais, e uma interrupção prolongada pode ser altamente prejudicial para a empresa. A mensagem de extorsão que saudou inúmeros usuários do Canvas hoje aconselhou as escolas afetadas a negociar seus próprios pagamentos de resgate para evitar a publicação de seus dados - independentemente de a Instructure decidir pagar. "ShinyHunters invadiu a Instructure (novamente)", dizia a mensagem de extorsão. "Em vez de entrar em contato conosco para resolver, eles nos ignoraram e fizeram algumas 'correções de segurança'" Uma fonte próxima à investigação que não estava autorizada a falar com a imprensa disse ao KrebsOnSecurity que várias universidades já entraram em contato com o grupo de cibercriminosos sobre o pagamento. A mesma fonte também apontou que o blog de vazamento de dados do ShinyHunters não lista mais a Instructure entre suas vítimas atuais de extorsão e que as amostras de dados roubadas dos clientes do Canvas também foram removidas. Grupos de extorsão de dados como o ShinyHunters normalmente só removem as vítimas de seus sites de vazamento após receber um pagamento de extorsão ou após uma vítima concordar em negociar.
Dipan Mann, fundador e CEO da empresa de segurança Cloudskope, criticou a Instructure por se referir à interrupção de hoje como um evento de "manutenção programada" em sua página de status. Mann disse que o Shiny Hunters demonstrou pela primeira vez que havia invadido a Instructure em 1º de maio, levando o diretor de segurança da informação da Instructure, Steve Proud, a declarar no dia seguinte que o incidente havia sido contido. Mas Mann disse que o ataque de hoje é pelo menos a terceira vez nos últimos oito meses que a Instructure foi invadida pelo ShinyHunters. Em um post de blog hoje, Mann observou que, em setembro de 2025, o ShinyHunters lançou milhares de arquivos internos da Universidade da Pensilvânia - registros de doadores, memorandos internos e outros materiais confidenciais - por meio do que o Daily Pennsylvanian e outros veículos determinaram mais tarde que era, em parte, um caminho de acesso mediado pelo Canvas/Instructure. "Penn foi a vítima nomeada", escreveu Mann. "Instructure foi o mecanismo. O incidente foi tratado como uma história específica da Penn pela maior parte da imprensa nacional e tratado silenciosamente pela Instructure como uma questão específica do cliente. Essa estrutura estava errada então. É dramaticamente mais errada à luz dos eventos de maio de 2026, que agora parecem a escalada planejada de um padrão de ataque que o ShinyHunters vinha trabalhando contra o ambiente da Instructure por pelo menos oito meses antes. A violação da Penn em setembro de 2025 foi a prova de conceito. O incidente de 1º de maio de 2026 foi a execução da produção. A recompromisso de 7 de maio de 2026 foi o ShinyHunters demonstrando publicamente que a 'contenção' de 2 de maio não aconteceu." Em fevereiro, um porta-voz do ShinyHunters disse ao The Daily Pennsylvanian que Penn não pagou uma demanda de resgate de US$ 1 milhão. Em 5 de março, o ShinyHunters publicou 461 megabytes de dados roubados da Penn, incluindo milhares de arquivos, como registros de doadores e memorandos internos.
ShinyHunters é um grupo cibercriminoso prolífico e fluido que se especializa em roubo e extorsão de dados. Eles normalmente obtêm acesso às empresas por meio de ataques de phishing de voz e engenharia social que geralmente envolvem a personificação de pessoal de TI ou outros membros confiáveis de uma organização-alvo. No mês passado, o ShinyHunters aliviou a gigante de segurança doméstica ADT de informações pessoais de 5,5 milhões de clientes. O grupo de extorsão disse ao BleepingComputer que invadiu a empresa comprometendo a conta de logon único Okta de um funcionário em um ataque de phishing de voz que permitiu o acesso à instância Salesforce da ADT. O BleepingComputer diz que o ShinyHunters recentemente assumiu a responsabilidade por vários ataques de extorsão contra organizações de alto perfil, incluindo Medtronic, Rockstar Games, McGraw Hill, 7-Eleven e a operadora de cruzeiros Carnival. O ataque aos clientes do Canvas é apenas uma de várias grandes campanhas de cibercrime sendo lançadas pelo ShinyHunters no momento, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, de propriedade do Google. Carmakal se recusou a comentar especificamente sobre a violação do Canvas, mas disse que "há várias campanhas de intrusão e extorsão ShinyHunters simultâneas e discretas acontecendo agora". Mann, da Cloudskope, disse que o que acontece a seguir depende em grande parte de se os clientes da Instructure - as universidades, os distritos K-12 e os ministérios da educação que pagam pelo Canvas - optam por aplicar pressão ou absorver a violação silenciosamente. "A história dos incidentes de fornecedores de educação sugere que o caminho de menor resistência é o segundo", concluiu.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
