A violação de dados da Instructure/Canvas, que tem dominado as notícias sobre segurança cibernética nos últimos tempos, atingiu uma nova fase.
Milhões de estudantes tiveram seus dados pessoais roubados, com o grupo de extorsão ShinyHunters assumindo a responsabilidade pela violação de dados e aumentando a pressão para que suas exigências de resgate fossem atendidas, incomodando diretamente os usuários do Canvas.
O que parece ter valido a pena. Na página da Instructure sobre a recente violação de dados, uma atualização de status datada de 11 de maio de 2026 diz:
“Sabemos que as preocupações com a possível divulgação de dados relacionados a este incidente continuam sendo uma das principais preocupações de muitos clientes. Compreendemos o quanto situações como essa podem ser inquietantes, e proteger nossa comunidade continua sendo nossa principal prioridade.
“Tendo essa responsabilidade em mente, a Instructure chegou a um acordo com o agente não autorizado envolvido neste incidente.”
Isso significa que a Instructure pagou ao ShinyHunters. É quase certo que pelo menos parte desse dinheiro será destinada ao financiamento de futuras operações de cibercrime. Se as empresas devem ou não pagar resgates ou atender a exigências de extorsão continua sendo um debate controverso, e esse não é um assunto que pretendo retomar aqui.
O que eu não entendo é a frase seguinte na atualização:
“Os dados nos foram devolvidos.”
Embora isso possa ter a intenção de soar tranquilizador, no mundo da segurança cibernética, os dados não são como um laptop emprestado ou uma pasta extraviada. Uma vez copiados, podem ser copiados novamente, e mais uma vez.
Isso é importante porque o incidente não se limitou a um acesso temporário. A Instructure informou que o acesso não autorizado envolveu nomes de usuário, endereços de e-mail, nomes de cursos, informações de matrícula e mensagens.
Os dados não podem simplesmente ser “devolvidos”
Portanto, quando uma empresa afirma que os dados foram “devolvidos” e que foram fornecidos“registros de destruição ”, a verdadeira questão não é se os invasores ainda possuem os arquivos originais. Trata-se de saber se foram feitas cópias, se essas cópias foram compartilhadas e com quem. Em essência, trata-se de saber se os riscos decorrentes da violação foram realmente eliminados. Embora esse tipo de cibercriminoso tenda a agir com base na confiança, os dados digitais não vêm com uma função de recuperação garantida.
A boa notícia é que a Instructure afirma que não foram afetadas senhas, datas de nascimento, números de identificação oficial nem informações financeiras. No entanto, nomes, endereços de e-mail, detalhes de cursos e mensagens privadas ainda são suficientes para alimentar ataques de phishing e engenharia social altamente direcionados, mesmo muito tempo depois de as manchetes terem desaparecido.
Para os alunos e suas famílias, as dicas práticas do nossoblogoriginal continuam válidas:
- Redefinir senhas relacionadas ao Canvas
- Ative a autenticação multifatorial sempre que possível
- Acompanhe as atividades financeiras e de crédito à medida que os filhos crescem
- Fique atento a tentativas de phishing altamente personalizadas que mencionem escolas, cursos ou professores reais
Seu nome, endereço e número de telefone provavelmente já estão à venda.
Os corretores de dados coletam e vendem seus dados pessoais para qualquer pessoa disposta a pagar.Personal Data Remover Malwarebytes Personal Data Remover osPersonal Data Remover e remove suas informações, mantendo-se em alerta para garantir que tudo permaneça assim.
