Cibercriminosos roubam dados de 275 milhões de usuários do Canvas

Por /

A Instructure, empresa responsável pela plataforma de ensino Canvas, confirmou em 1º de maio de 2026 que sofreu um ataque cibernético. Dois dias depois, o grupo de extorsão ShinyHunters assumiu a autoria da invasão e publicou a empresa em seu site de vazamentos na dark web, ameaçando divulgar os dados caso não receba pagamento.

A Instructure é uma empresa americana de tecnologia educacional. Seu principal produto é o Canvas, um sistema de gerenciamento de aprendizagem, conhecido pela sigla LMS, do inglês sistema de gerenciamento de aprendizado.

O Canvas é a plataforma onde professores publicam materiais, alunos entregam tarefas e todos trocam mensagens dentro do ambiente escolar ou universitário. É amplamente usado em universidades, escolas públicas e privadas, e até por empresas para treinamentos internos.

Em 3 de maio, o ShinyHunters publicou a Instructure em seu site de extorsão na dark web com a mensagem “Pay or Leak” e prazo para pagamento. Imagem: Bleeping Computer.

O que aconteceu

Na tarde de 30 de abril, a Instructure registrou interrupções em ferramentas que dependem de chaves de API. Uma chave de API é, basicamente, uma credencial digital que permite que sistemas diferentes se comuniquem entre si.

Na manhã seguinte, o diretor de segurança da informação da empresa, Steve Proud, confirmou publicamente o ataque e anunciou a contratação de especialistas forenses externos para investigar o caso.

Em 2 de maio, a Instructure detalhou as medidas tomadas. A empresa revogou credenciais comprometidas, aplicou correções de segurança, rotacionou chaves de acesso e ampliou o monitoramento das plataformas.

shinyhunters canvas (1).png
A plataforma Canvas é usada por escolas, universidades e empresas para gerenciar cursos, tarefas e comunicação entre alunos e professores. Imagem: ABC News.

Na mesma atualização, confirmou quais dados foram acessados: nomes, endereços de e-mail, números de identificação de estudantes e mensagens trocadas dentro da plataforma. A empresa afirmou não ter encontrado evidências de exposição de senhas, datas de nascimento, documentos governamentais ou informações financeiras.

Os dados expostos

Segundo os próprios atacantes, o volume de dados roubados chega a 3,65 terabytes. O grupo afirma ter comprometido informações de cerca de 275 milhões de pessoas, em aproximadamente 9 mil escolas e 15 mil instituições distribuídas pela América do Norte, Europa, Ásia e Oceania.

Os atacantes afirmam ainda ter acessado a instância Salesforce da Instructure, o sistema de gestão de relacionamento com clientes usado pela empresa.

Foto de um estudante segurando um lápis
Dados de estudantes de instituições em seis continentes estão entre os 275 milhões de registros que o grupo alega ter roubado.

Instituições brasileiras estão entre as vítimas

Uma análise feita pela empresa de inteligência de ameaças SOCRadar identificou parte das instituições potencialmente afetadas. Entre as universidades estão Harvard, Stanford, MIT, Columbia, Princeton, Yale e Penn State. No segmento de ensino básico americano aparecem grandes redes públicas, como as de Las Vegas, Broward County e Houston.

Instituições do Brasil também constam na lista, assim como organizações do Reino Unido, Austrália, Holanda, Singapura e México. A lista inclui ainda empresas privadas como Amazon, Cisco, Apple, Disney, Goldman Sachs e Dell, além de agências governamentais americanas como o Departamento de Defesa, a Agência Federal de Gestão de Emergências e a Agência Federal de Prisões.

Entre as brasileiras supostamente afetadas estão:

  • ESPM;
  • Escola Sagrada Família;
  • EBAC;
  • Faculdade Católica Paulista;
  • Faculdade Cásper Líbero;
  • Faculdade de Ciências Médicas de Minas Gerais;
  • Faculdade de Direito de Vitória;
  • Associação Brasileira de Bancos;
  • Estácio de Sá;
  • UNIP.
  • Lista em atualização…

 TecMundo apurará mais detalhes com as insituições em outra reportagem.

O ShinyHunters em campanha contra edtechs

Este não é o primeiro ataque do ShinyHunters à Instructure. Em outubro de 2025, o grupo comprometeu a instância Salesforce da empresa por meio de vishing, técnica em que criminosos ligam ou mandam áudios se passando por pessoas ou empresas legítimas para enganar funcionários.

predio-da-salesforce
O ShinyHunters afirma ter acessado também a instância do Salesforce da Instructure, repetindo tática já usada contra a empresa em setembro de 2025.

Naquele episódio, a Instructure disse que nenhum dado do Canvas foi acessado. O ataque fazia parte de uma operação maior contra clientes do Salesforce, na qual o grupo teria roubado 1,5 bilhão de registros de aproximadamente 760 organizações.

O que fazer se você usa o Canvas

O risco mais imediato para usuários afetados é o phishing. Com nomes, e-mails institucionais, IDs de estudantes e contexto de mensagens em poder dos atacantes, golpes direcionados podem parecer muito convincentes.

Uma mensagem falsa pode simular comunicações de administradores, colegas ou professores. Os temas podem envolver o próprio incidente, problemas de pagamento ou situações que criem urgência para fazer o usuário clicar em links sem pensar.

pessoa-usando-computador-com-icones-de-cadeado-representando-seguranca-digital-firewall-antivirus
Ataque comprometeu credenciais e chaves de acesso usadas por milhares de instituições conectadas ao Canvas.

A recomendação é tratar qualquer e-mail com tema relacionado ao Canvas com desconfiança por ora. Em vez de clicar em links recebidos, acesse sua conta diretamente pelo navegador.

Troque sua senha e verifique se há sessões ativas ou integrações OAuth desconhecidas conectadas à sua conta. Uma integração OAuth é, basicamente, um aplicativo de terceiros com acesso autorizado à sua conta. Qualquer um que você não reconheça deve ser removido imediatamente.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Related Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima