A Instructure, empresa responsável pelo sistema de gestão de aprendizagem (LMS) Canvas, confirmou um incidente cibernético e a consequente violação de dados que afetou seu ambiente hospedado na nuvem.
O grupo de ransomware ShinyHunters afirma ser o responsável pelo ataque e diz ter roubado cerca de 275 milhões de registros relacionados a alunos, professores e funcionários.
Os criminosos compartilharam com o BleepingComputer uma lista de 8.809 distritos escolares, universidades e plataformas de educação online cujas instâncias do Canvas, segundo eles, foram afetadas, com o número de registros por instituição variando de dezenas de milhares a vários milhões.
Verifique se seus dados pessoais foram expostos.
O que fazer se os dados do Instructure/Canvas do seu filho tiverem sido expostos
Se você foi informado de que seu filho foi afetado pela violação de dados da Instructure, talvez esteja se perguntando o que pode fazer para protegê-lo. Aqui estão algumas medidas práticas que você pode tomar imediatamente.
1. Verifique o que a escola e a Instructure estão dizendo
Comece por ler a notificação da escola ou do distrito e as atualizações da própria Instructure para entender quais dados sobre seu filho foram afetados (por exemplo: nome, endereço de e-mail, matrícula ou informações sobre o curso). Siga todas as orientações específicas recomendadas para as contas dos alunos e fique atento a novas mensagens, caso surjam novas informações.
Antes de mais nada, certifique-se de que a notificação é verdadeira. Se algo na mensagem parecer suspeito, como links estranhos, pressão para agir imediatamente ou pedidos de informações adicionais, verifique isso primeiro. Acesse diretamente o site do distrito ou da Instructure e use os dados de contato indicados lá para confirmar.
2. Proteja as contas escolares e de aprendizagem do seu filho
Se seu filho tiver uma conta no Canvas ou em alguma plataforma semelhante, altere essa senha imediatamente, especialmente se a escola permitir que alunos ou pais façam login com nome de usuário e senha, em vez do login único. Se seu filho costuma reutilizar senhas (por exemplo, usando a mesma senha para o Canvas, e-mail e contas de jogos), altere essas outras senhas também.
Defina uma senha forte e exclusiva para cada conta e considere usar um gerenciador de senhas familiar para criar e armazenar essas senhas sem precisar confiar na memória. No caso de crianças mais novas, talvez seja melhor você mesmo gerenciar essas credenciais e manter uma lista das plataformas educacionais que elas utilizam.
3. Ative a autenticação multifatorial sempre que possível
A autenticação multifatorial (MFA) torna muito mais difícil que alguém acesse uma conta usando apenas uma senha. Se a sua escola ou distrito permitir essa opção nas contas dos pais ou alunos (por exemplo, um código enviado por SMS, e-mail ou gerado em um aplicativo de autenticação), ative-a e, de preferência, configure para que os códigos sejam enviados para um dispositivo ou aplicativo que você controle.
Lembre seu filho de que os códigos de segurança são como senhas de uso temporário. Ele nunca deve compartilhá-los com amigos, professores ou qualquer pessoa que se apresente como “suporte de TI”, mesmo que a mensagem pareça urgente ou utilize a identidade visual da escola.
4. Considere adotar medidas adicionais de proteção de identidade para menores
Se a violação envolveu dados de identificação altamente confidenciais (como números de identidade nacional ou de previdência social em algumas regiões), pergunte tanto à escola quanto ao provedor afetado quais medidas de proteção estão sendo oferecidas para menores, como serviços de monitoramento de crédito ou de recuperação de identidade. Em alguns países, também é possível solicitar o congelamento de crédito ou um bloqueio semelhante no cadastro do menor para impedir a abertura de novas contas em seu nome.
Mesmo que seu filho ainda seja muito novo para ter um histórico de crédito, vale a pena anotar esse incidente para que você se lembre de verificar os registros dele quando ele tiver idade suficiente.
5. Fique atento a possíveis golpes subsequentes
Os criminosos costumam reutilizar dados roubados de plataformas educacionais para tornar as mensagens de phishing e golpes mais convincentes, mencionando nomes reais de escolas, professores ou cursos. Tenha especial cuidado com e-mails e mensagens de texto que afirmam ser da escola, do distrito escolar ou da Instructure e que solicitam que você “confirme” seus dados de login, abra anexos inesperados (como “novas tarefas”) ou pague taxas por meios incomuns.
Como regra geral, evite clicar em links contidos em mensagens não solicitadas sobre a violação. Em vez disso, abra uma nova janela do navegador e acesse o site ou aplicativo oficial como faria normalmente; em seguida, faça login a partir daí para verificar se há mensagens.
O que os cibercriminosos sabem sobre você?
Use a verificação gratuita Digital Footprint Malwarebytes para verificar se suas informações pessoais foram expostas online.
