O grupo ShinyHunters comprometeu a plataforma Canvas LMS, usada por 8.809 instituições de ensino em todo o mundo, e roubou 3,65 terabytes de dados de aproximadamente 275 milhões de usuários. A Instructure, empresa que mantém o Canvas, confirmou o pagamento de resgate para evitar a divulgação pública dos dados.
A invasão foi detectada em 29 de abril de 2026, mas o ShinyHunters afirma ter acesso desde 25 de abril. Os invasores publicaram uma lista com as 8.809 instituições afetadas e desfiguraram a página de login com uma nota de resgate. O volume de dados inclui mensagens privadas entre estudantes e professores, notas acadêmicas, trabalhos submetidos e informações de identificação pessoal.
## O papel do ShinyHunters
O ShinyHunters, responsável também por breaches na Disney e no AT&T, já havia invadido a Instructure anteriormente. Dessa vez, o grupo relatou que a empresa ignorou suas tentativas de contato e aplicou patches de segurança sem negociar, o que levou à publicação parcial dos dados como tática de pressão.
A Halcyon, empresa de segurança que monitorou a campanha, classificou o ataque como o maior breach educacional já registrado. O fato de uma plataforma usada por milhões de estudantes e professores ter sido completamente comprometida levanta questões sobre a centralização de dados acadêmicos em provedores únicos.
## Instructure pagou o resgate
A Inside Higher Ed confirmou que a Instructure chegou a um acordo financeiro com o ShinyHunters. O valor não foi divulgado, mas a empresa afirmou que a decisão visava reduzir o risco de extorsão mais ampla e novos vazamentos. É o segundo caso em 2026 de uma grande empresa de tecnologia educacional optando pelo pagamento.
Para as instituições afetadas, o cenário exige revisão imediata de credenciais de acesso, monitoramento de contas corporativas e comunicação transparente com estudantes e funcionários sobre a extensão da exposição de dados.
Fontes: