La violazione dei dati di Instructure/Canvas, che negli ultimi tempi ha dominato l'attualità in materia di sicurezza informatica, ha raggiunto una nuova fase.
A milioni di studenti sono stati sottratti i dati personali; il gruppo di ricattatori ShinyHunters ha rivendicato la responsabilità della violazione e ha intensificato la pressione per ottenere il riscatto contattando direttamente gli utenti di Canvas.
E sembra che questa scelta abbia dato i suoi frutti. Nella pagina web di Instructure dedicata alla recente violazione dei dati, un aggiornamento dello stato datato 11 maggio 2026 recita:
“Siamo consapevoli che le preoccupazioni relative alla possibile pubblicazione dei dati connessi a questo incidente continuano a essere una delle principali preoccupazioni di molti clienti. Comprendiamo quanto possano essere inquietanti situazioni come questa, e la tutela della nostra comunità rimane la nostra massima priorità.
«Tenendo presente tale responsabilità, Instructure ha raggiunto un accordo con l'autore non autorizzato coinvolto nell'incidente».
Ciò implica che Instructure abbia pagato ShinyHunters. È quasi certo che almeno una parte di quel denaro finirà per finanziare future operazioni di criminalità informatica. Se le aziende debbano mai pagare i riscatti richiesti dai ransomware o le richieste di estorsione rimane un tema controverso, e non è una discussione che intendo riaprire in questa sede.
Quello che non capisco è la frase successiva dell'aggiornamento:
«I dati ci sono stati restituiti.»
Sebbene ciò possa sembrare rassicurante, nel campo della sicurezza informatica i dati non sono come un portatile preso in prestito o una cartella smarrita. Una volta copiati, possono essere copiati ancora e ancora.
Questo è importante perché l'incidente non ha riguardato solo un accesso temporaneo. Instructure ha dichiarato che l'accesso non autorizzato ha interessato nomi utente, indirizzi e-mail, nomi dei corsi, informazioni sulle iscrizioni e messaggi.
I dati non possono essere semplicemente "restituiti"
Quindi, quando un'azienda afferma che i dati sono stati "restituiti" e che sono stati fornitii "registri di distruzione ", la vera domanda non è se gli hacker siano ancora in possesso dei file originali, bensì se ne siano state create delle copie, se tali copie siano state condivise e con chi. In sostanza, si tratta di capire se i rischi a valle della violazione siano stati effettivamente eliminati. Sebbene questo tipo di criminali informatici tenda a basare le proprie operazioni sulla fiducia, i dati digitali non dispongono di una funzione di richiamo garantita.
La buona notizia è che, secondo Instructure, non sono stati compromessi password, date di nascita, codici identificativi governativi o dati finanziari. Tuttavia, nomi, indirizzi e-mail, dettagli sui corsi e messaggi privati sono comunque sufficienti per alimentare attacchi di phishing e di ingegneria sociale altamente mirati anche molto tempo dopo che i titoli dei giornali saranno ormai dimenticati.
Per gli studenti e le famiglie, i consigli pratici contenuti nel nostroblogoriginale sono ancora validi:
- Reimposta le password relative a Canvas
- Attivare l'autenticazione a più fattori, ove possibile
- Tenere sotto controllo la situazione finanziaria e creditizia man mano che i figli crescono
- Fate attenzione alle truffe di phishing altamente personalizzate che fanno riferimento a scuole, corsi o insegnanti reali
Probabilmente il tuo nome, indirizzo e numero di telefono sono già in vendita.
I broker di dati raccolgono e vendono i tuoi dati personali a chiunque sia disposto a pagare. Malwarebytes Personal Data Remover liPersonal Data Remover e provvede alla rimozione delle tue informazioni, continuando poi a monitorare la situazione affinché rimangano protette.
