A Instructure, gigante de tecnologia educacional, confirmou uma violação de dados que afetou informações privadas de alunos. O grupo de hackers ShinyHunters reivindicou a responsabilidade pelo ataque. Segundo os criminosos, foram roubados nomes de alunos, endereços de e-mail pessoais e mensagens trocadas entre professores e estudantes — exatamente os mesmos tipos de dados que a Instructure admitiu terem sido violados.
A Instructure é a mais recente grande corporação atacada pelo grupo ShinyHunters. Nos últimos meses, os cibercriminosos têm mirado universidades e empresas de banco de dados em nuvem para roubar grandes volumes de informações pessoais e ameaçar publicá-las online caso as empresas não paguem o resgate exigido.
Um membro do ShinyHunters compartilhou uma amostra dos dados roubados com o TechCrunch, incluindo informações de duas escolas nos Estados Unidos — uma em Massachusetts e outra no Tennessee. No caso da escola em Massachusetts, os dados incluíam mensagens com nomes, e-mails e alguns números de telefone. Já para a escola no Tennessee, a amostra continha nomes completos e endereços de e-mail dos alunos. A amostra não incluía senhas nem outros dados que a Instructure afirmou não terem sido afetados.
O TechCrunch optou por não nomear as escolas por não serem vítimas confirmadas. Com base em informações disponíveis em seus sites, ambas parecem usar a plataforma Canvas da Instructure, que permite gerenciar cursos, tarefas e comunicação com os alunos.
O ShinyHunters também divulgou uma lista de cerca de 8.800 escolas supostamente afetadas pela violação. O TechCrunch não pôde confirmar se todas as instituições listadas foram realmente afetadas ou se são clientes da Instructure. Em seu site oficial, a Instructure afirma ter mais de 8.000 instituições como clientes.
Ao ser contatada pelo TechCrunch, a porta-voz da Instructure, Kate Holmes, não respondeu a várias perguntas sobre o incidente, limitando-se a referir a página oficial onde a empresa publica atualizações sobre a violação. A situação acende um alerta para a segurança de dados no setor educacional e a necessidade de medidas robustas de proteção contra ataques cibernéticos.
