Algumas escolas e universidades cujos dados de alunos foram roubados por um grupo de hackers do crime cibernético como parte da violação da ferramenta educacional Canvas em abril entraram em contato com os hackers para impedi-los de divulgar os dados, disseram pessoas familiarizadas com o assunto na sexta-feira.
ShinyHunters, o coletivo de hackers por trás de uma série de campanhas de roubo de dados e extorsão contra grandes empresas globais, anunciou em uma postagem de 3 de maio em seu site que havia roubado aproximadamente 6,65 terabytes de dados do Canvas relacionados a aproximadamente 9.000 escolas em todo o mundo, incluindo nomes de alunos, endereços de e-mail e mensagens privadas entre alunos, professores e outros funcionários.
Jornais estudantis de todo o país relataram esta semana que o hack estava causando perturbações generalizadas enquanto os alunos se preparavam para as tarefas e tarefas de final de ano. Este software é usado nas escolas para compartilhar tarefas e informações de aula e para compartilhar mensagens entre alunos e professores.
O FBI disse na sexta-feira que estava ciente de uma violação que perturbou o sistema educacional dos EUA, sem nomear o Canvas.
Em 5 de maio, o grupo postou uma mensagem dizendo que a Instructor, controladora do Canvas, “nem queria falar conosco” para evitar uma violação de dados, e que suas demandas “não eram tão altas quanto você imagina”.
A mensagem incluía uma lista de aproximadamente 1.400 escolas e distritos escolares individuais e pedia-lhes que contactassem cada escola para negociar e evitar que os seus dados fossem publicados.
A Instructor anunciou em uma postagem de 1º de maio em seu site de suporte que estava investigando o incidente de segurança cibernética. A postagem do dia seguinte, assinada pelo diretor de segurança da informação Steve Proud, dizia que as “informações relevantes” incluíam nomes de usuário do Canvas, endereços de e-mail, números de carteira de estudante e mensagens entre usuários.
A empresa informou em atualização de 6 de maio que a situação foi resolvida e o Canvas está totalmente operacional.
Em 7 de maio, alunos de várias escolas relataram ter encontrado uma nota do ShinyHunters com um link para uma lista de escolas afetadas ao tentar fazer login no Canvas. A Instructural colocou o Canvas, o Canvas Beta e o Canvas Test off-line por um curto período, mas restaurou o acesso ao Canvas quatro horas depois.
Um porta-voz da Instructure disse por e-mail na sexta-feira que os hackers “alteraram a página que alguns alunos e professores veem quando fazem login”. Um porta-voz disse que os hackers exploraram um problema relacionado ao serviço Free-for-Teacher da empresa para permitir que usuários que não usam o Canvas experimentassem certas partes da plataforma.
A empresa suspendeu temporariamente seu serviço Free-for-Teacher, mas isso “nos dá confiança para restaurar o acesso ao Canvas e agora ele está totalmente online e disponível para uso”, disse um porta-voz.
De acordo com o site de suporte da Instructural, o Canvas Beta e o Canvas Test permanecem em “modo de manutenção”.
ShinyHunters removeu ambas as mensagens de seu site em 7 de maio e as substituiu por uma mensagem que dizia: “Não comentamos este incidente global e não há necessidade de comentar mais”. Representantes do grupo se recusaram a responder perguntas da Reuters via chat online.
Grupos de extorsão e ransomware extraem reclamações sobre suas vítimas de sites por diversos motivos, inclusive porque o alvo os pagou ou está negociando com eles.
Um memorando enviado aos pais pelo distrito escolar de South Orange Maplewood na sexta-feira afirma que a violação de segurança ocorreu em 25 de abril e que a infraestrutura detectou a fraude em 29 de abril.
As escolas públicas do condado de Montgomery, em Maryland, disseram aos alunos, funcionários e famílias em um e-mail na sexta-feira que o Canvas retomará seus serviços, mas o distrito continuará a restringir o acesso por precaução “até que todos os serviços tenham sido revisados e determinados como seguros para uso.”
De acordo com o site da Infrastructure, o Canvas tem 30 milhões de usuários ativos, desde o jardim de infância até a faculdade.
