ShinyHunters vaza informações de 275 milhões de usuários do Canvas

ShinyHunters confirma ataque ao Canvas da Instructure: 275 milhões de usuários, 3,65 TB de dados e instituições como Harvard e MIT envolvidos.

08/05/2026 15:30

3 min

ShinyHunters vaza informações de 275 milhões de usuários do Canvas
(Imagem de reprodução da internet).

Vazamento de Dados da Plataforma Canvas Afeta Milhões

O grupo criminoso ShinyHunters invadiu a plataforma educacional Canvas, da Instructure, comprometendo dados de aproximadamente 275 milhões de estudantes, professores e funcionários globalmente. O ataque, confirmado pela empresa em 1º de maio de 2026, afetou cerca de 9 mil escolas e 15 mil instituições, incluindo renomadas universidades como Harvard e MIT, além de empresas como Amazon e Apple. Os criminosos ameaçam divulgar 3,65 terabytes de dados caso não recebam pagamento.

Escopo do Comprometimento e Dados Acessados

A Instructure detalhou os dados acessados, que incluem nomes, endereços de e-mail, IDs de estudantes e mensagens internas. A empresa não encontrou evidências de exposição de senhas, datas de nascimento ou informações financeiras, mas a natureza dos dados comprometidos ainda representa um risco significativo.

Informações como nomes e e-mails são suficientes para campanhas de phishing, um método frequentemente utilizado pelo ShinyHunters após tentativas de extorsão malsucedidas.

Alcance Global do Vazamento

O vazamento de dados da Canvas não se restringiu ao ambiente acadêmico. Instituições de ensino superior como Harvard, Stanford e Princeton estão entre as afetadas, assim como redes de educação básica nos EUA e em outros países, incluindo Brasil e Reino Unido. O impacto se estende a organizações corporativas e governamentais, como Amazon e agências do Departamento de Defesa dos EUA, refletindo a ampla capilaridade do Canvas no mercado de LMS.

Como o Ataque Foi Realizado

Os primeiros sinais do ataque foram detectados em 30 de abril de 2026, quando a Instructure percebeu falhas em ferramentas que utilizavam chaves de API. O vetor inicial do ataque ainda está sendo investigado, mas o histórico do ShinyHunters sugere o uso de técnicas avançadas de engenharia social.

Leia também

Lei 15.397/2026 aumenta severidade das penas para crimes digitais

Lei 15.397/2026 aumenta severidade das penas para crimes digitais

Big Techs fornecem IAs ao Governo dos EUA

Big Techs fornecem IAs ao Governo dos EUA

Golpes no Dia das Mães geram alerta sobre cibersegurança nas empresas

Golpes no Dia das Mães geram alerta sobre cibersegurança nas empresas

O grupo alega ter acessado não apenas a plataforma Canvas, mas também a instância Salesforce da Instructure, o que poderia indicar um ataque mais abrangente, potencialmente expondo dados comerciais e contratuais.

ShinyHunters: Um Grupo de Alta Periculosidade

O ShinyHunters é conhecido por suas ações em larga escala, incluindo o ataque à Ticketmaster em 2024, que resultou na exposição de 560 milhões de registros. O padrão do grupo envolve invasão, extração de dados e extorsão, o que torna a divulgação dos dados do vazamento da Canvas uma possibilidade real.

Implicações Legais e Regulatórias

O ataque levanta sérias questões regulatórias, especialmente nos Estados Unidos, onde leis como a FERPA e a COPPA impõem obrigações rigorosas sobre o tratamento de dados educacionais e de menores. Com 9.000 escolas potencialmente afetadas, a presença de dados de crianças é uma preocupação significativa.

No Brasil, a LGPD exige que instituições notifiquem a ANPD e os titulares dos dados em casos de incidentes com risco potencial, o que requer uma avaliação urgente das obrigações legais por parte das instituições afetadas.

Fonte por: Its Show

Autor(a):

Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!