A violação de dados da Instructure/Canvas, que tem dominado a cobertura noticiosa sobre cibersegurança nos últimos tempos, atingiu uma nova fase.
Milhões de estudantes foram vítimas de roubo de dados pessoais, tendo o grupo de extorsão ShinyHunters reivindicado a autoria da violação de dados e exercido pressão adicional para fazer valer as suas exigências de resgate, contactando diretamente os utilizadores do Canvas.
O que parece ter valido a pena. Na página da Instructure sobre a recente violação de dados, uma atualização de 11 de maio de 2026 diz:
«Sabemos que as preocupações quanto à eventual publicação de dados relacionados com este incidente continuam a ser uma das principais preocupações de muitos clientes. Compreendemos o quão perturbadoras situações como esta podem ser, e a proteção da nossa comunidade continua a ser a nossa principal prioridade.»
«Tendo essa responsabilidade em mente, a Instructure chegou a um acordo com o agente não autorizado envolvido neste incidente.»
Isto significa que a Instructure pagou aos ShinyHunters. É quase certo que pelo menos parte desse dinheiro será destinado ao financiamento de futuras operações de cibercriminalidade. A questão de saber se as empresas devem ou não pagar resgates ou ceder a exigências de extorsão continua a ser um tema controverso, e não é um debate que pretenda reacender aqui.
O que não compreendo é a frase seguinte na atualização:
«Os dados foram-nos devolvidos.»
Embora isso possa ter a intenção de soar tranquilizador, no mundo da cibersegurança, os dados não são como um portátil emprestado ou uma pasta extraviada. Uma vez copiados, podem ser copiados repetidamente.
Isso é importante porque o incidente não se limitou a um acesso temporário. A Instructure afirmou que o acesso não autorizado envolveu nomes de utilizador, endereços de e-mail, nomes de cursos, informações de inscrição e mensagens.
Os dados não podem ser simplesmente «devolvidos»
Assim, quando uma empresa afirma que os dados foram «devolvidos» e que foram fornecidos«registos de destruição », a verdadeira questão não é se os atacantes ainda possuem os ficheiros originais. Trata-se de saber se foram feitas cópias, se essas cópias foram partilhadas e com quem. Ou seja, em essência, se os riscos decorrentes da violação foram efetivamente eliminados. Embora este tipo de cibercriminosos tenda a basear-se na confiança, os dados digitais não vêm com uma função de recuperação garantida.
A boa notícia é que a Instructure afirma que não foram afetadas palavras-passe, datas de nascimento, números de identificação oficial nem informações financeiras. No entanto, nomes, endereços de e-mail, detalhes dos cursos e mensagens privadas continuam a ser suficientes para alimentar ataques de phishing e de engenharia social altamente direcionados, muito depois de as notícias terem deixado de ser notícia.
Para os alunos e as famílias, os conselhos práticos do nossoblogueoriginal continuam a ser válidos:
- Redefinir as palavras-passe relacionadas com o Canvas
- Ative a autenticação multifator sempre que possível
- Acompanhe as atividades financeiras e de crédito à medida que os filhos vão crescendo
- Tenha cuidado com tentativas de phishing altamente personalizadas que mencionam escolas, cursos ou professores reais
O seu nome, morada e número de telefone provavelmente já estão à venda.
As empresas de comercialização de dados recolhem e vendem os seus dados pessoais a quem estiver disposto a pagar.Personal Data Remover Malwarebytes Personal Data Remover e elimina as suas informações, mantendo-se em alerta para garantir que tudo permanece assim.
