A empresa americana Instructure, responsável pela plataforma educacional Canvas, confirmou ter sido alvo de um ataque cibernético que pode ter comprometido dados de milhões de usuários em diversos países. A invasão foi assumida pelo grupo criminoso ShinyHunters, que publicou o nome da companhia em um site de vazamentos na dark web e ameaçou divulgar as informações caso não receba pagamento.
O Canvas é um dos sistemas de gerenciamento de aprendizagem mais utilizados por escolas, universidades e empresas. A plataforma permite a publicação de materiais didáticos, envio de tarefas, troca de mensagens e organização de cursos em ambiente virtual.
Segundo a Instructure, os primeiros sinais do ataque surgiram em 30 de abril, quando houve interrupções em ferramentas ligadas a chaves de API, mecanismo utilizado para integração entre sistemas. No dia seguinte, o diretor de segurança da informação da empresa, Steve Proud, confirmou publicamente o incidente e informou a contratação de especialistas forenses para investigar o caso.
Em atualização divulgada em 2 de maio, a companhia afirmou ter revogado credenciais comprometidas, aplicado correções de segurança e ampliado o monitoramento das plataformas. A empresa também confirmou que foram acessados nomes, endereços de e-mail, números de identificação de estudantes e mensagens trocadas dentro do sistema.
A Instructure informou que, até o momento, não encontrou indícios de vazamento de senhas, dados financeiros, documentos governamentais ou datas de nascimento.
Apesar disso, o grupo ShinyHunters afirma ter roubado cerca de 3,65 terabytes de informações envolvendo aproximadamente 275 milhões de pessoas em 9 mil escolas e 15 mil instituições espalhadas pela América do Norte, Europa, Ásia e Oceania.
Os criminosos também alegam ter acessado a plataforma Salesforce utilizada pela empresa para gestão de relacionamento com clientes. Segundo especialistas em segurança digital, esse tipo de invasão amplia o risco de golpes virtuais direcionados, conhecidos como phishing, já que os dados obtidos permitem criar mensagens falsas com aparência legítima.
Levantamento realizado pela empresa de inteligência cibernética SOCRadar identificou possíveis instituições atingidas pelo ataque. Entre elas estão universidades americanas como Harvard, Stanford, MIT, Columbia, Princeton, Yale e Penn State.
Instituições brasileiras também aparecem na lista divulgada pelos investigadores. Entre elas estão ESPM, Escola Sagrada Família, EBAC, Faculdade Católica Paulista, Faculdade Cásper Líbero, Faculdade de Ciências Médicas de Minas Gerais, Faculdade de Direito de Vitória, Associação Brasileira de Bancos, Estácio de Sá e UNIP.
Além de instituições de ensino, o suposto vazamento incluiria empresas privadas e órgãos públicos dos Estados Unidos.
Especialistas alertam que usuários da plataforma devem redobrar a atenção para mensagens suspeitas envolvendo o Canvas. A recomendação é evitar clicar em links recebidos por e-mail e acessar diretamente a conta pelo navegador oficial. Também é indicado trocar senhas e verificar aplicativos conectados à conta por meio de integrações autorizadas.
O ShinyHunters já havia sido associado a outro ataque contra a Instructure em outubro de 2025. Na ocasião, o grupo teria utilizado uma técnica de engenharia social conhecida como vishing, em que criminosos se passam por pessoas ou empresas legítimas para enganar funcionários e obter acesso a sistemas internos.