A Instructure, empresa responsável pelo sistema de gestão de aprendizagem (LMS) Canvas, confirmou um incidente cibernético e a consequente violação de dados que afetou o seu ambiente alojado na nuvem.
O grupo de ransomware ShinyHunters reivindica a autoria do ataque e afirma ter roubado cerca de 275 milhões de registos relacionados com alunos, professores e funcionários.
Os criminosos partilharam com o BleepingComputer uma lista de 8 809 distritos escolares, universidades e plataformas de ensino online cujas instâncias do Canvas alegam terem sido afetadas, com o número de registos por instituição a variar entre dezenas de milhares e vários milhões.
Verifique se os seus dados pessoais foram expostos.
O que fazer se os dados do Instructure/Canvas do seu filho tiverem sido expostos
Se lhe foi comunicado que o seu filho foi afetado pela violação de segurança da Instructure, poderá estar a perguntar-se o que pode fazer para o proteger. Aqui estão algumas medidas práticas que pode tomar imediatamente.
1. Verifique o que a escola e a Instructure têm a dizer
Comece por consultar a notificação enviada pela escola ou pelo distrito e as atualizações da própria Instructure para compreender quais os dados relativos ao seu filho que foram afetados (por exemplo: nome, endereço de e-mail, número de identificação do aluno ou informações sobre os cursos). Siga todas as medidas específicas recomendadas relativamente às contas dos alunos e fique atento a eventuais mensagens de acompanhamento, caso surjam novas informações.
Antes de mais nada, certifique-se de que a notificação é verdadeira. Se algo na mensagem parecer suspeito, como links estranhos, pressão para agir imediatamente ou pedidos de dados adicionais, verifique isso primeiro. Aceda diretamente ao site do distrito ou da Instructure e utilize os dados de contacto aí indicados para verificar.
2. Proteja as contas escolares e de aprendizagem do seu filho
Se o seu filho tiver uma conta no Canvas ou numa plataforma semelhante, altere essa palavra-passe imediatamente, especialmente se a escola permitir que os alunos ou os pais iniciem sessão com um nome de utilizador e uma palavra-passe, em vez de utilizar o início de sessão único. Se o seu filho costuma reutilizar palavras-passe (por exemplo, utilizando a mesma para o Canvas, o e-mail e as contas de jogos), altere também essas outras palavras-passe.
Atribua a cada conta uma palavra-passe forte e única e considere a utilização de um gestor de palavras-passe familiar, para que possa criá-las e guardá-las sem depender da memória. No caso das crianças mais novas, talvez seja melhor gerir você mesmo essas credenciais e manter uma lista das plataformas educativas que elas utilizam.
3. Ative a autenticação multifator sempre que possível
A autenticação multifator (MFA) torna muito mais difícil que alguém aceda a uma conta apenas com uma palavra-passe. Se a sua escola ou distrito permitir esta funcionalidade nas contas dos pais ou dos alunos (por exemplo, um código enviado por SMS, e-mail ou gerado numa aplicação de autenticação), ative-a e, de preferência, certifique-se de que os códigos são enviados para um dispositivo ou aplicação que você controle.
Lembre ao seu filho que os códigos de segurança são como senhas de curta duração. Ele nunca deve partilhá-los com amigos, professores ou qualquer pessoa que se faça passar por «suporte informático», mesmo que a mensagem pareça urgente ou utilize a identidade visual da escola.
4. Considere medidas adicionais de proteção de identidade para menores
Se a violação tiver envolvido dados de identificação altamente sensíveis (como o número de identificação nacional ou o número de segurança social em algumas regiões), pergunte tanto à escola como ao prestador de serviços afetado que medidas de proteção estão a ser oferecidas aos menores, tais como serviços de monitorização de crédito ou de recuperação de identidade. Em alguns países, também é possível solicitar o congelamento do crédito ou um bloqueio semelhante no registo do menor, para impedir a abertura de novas contas em seu nome.
Mesmo que o seu filho seja ainda muito novo para ter um registo de crédito, vale a pena tomar nota deste incidente para que se lembre de verificar o seu registo quando ele tiver idade suficiente.
5. Esteja atento a possíveis golpes subsequentes
Os atacantes gostam de reutilizar dados roubados de plataformas educativas para tornar as mensagens de phishing e burlas mais convincentes, mencionando nomes reais de escolas, professores ou cursos. Tenha especial cuidado com e-mails e mensagens de texto que afirmam ser da escola, do distrito ou da Instructure e que lhe pedem para «confirmar» dados de início de sessão, abrir anexos inesperados (como «novas tarefas») ou pagar taxas através de métodos invulgares.
Como regra geral, evite clicar em links contidos em mensagens não solicitadas sobre a violação. Em vez disso, abra uma nova janela do navegador e aceda ao site ou à aplicação oficial como faria normalmente; depois, inicie sessão a partir daí para verificar se há mensagens.
O que os cibercriminosos sabem sobre si?
Use a verificação gratuita Digital Footprint Malwarebytes para ver se as suas informações pessoais foram expostas online.
