A Instructure, gigante de tecnologia educacional, confirmou a exploração de uma vulnerabilidade de segurança que permitiu a cibercriminosos a modificação de portais de login do Canvas. O incidente, ocorrido no início de maio de 2026, culminou na exibição de mensagens de extorsão para estudantes e professores que tentavam acessar a plataforma de ensino.
A empresa identificou que o vetor de ataque envolveu vulnerabilidades de cross-site scripting (XSS), especificamente em recursos de conteúdo gerado pelo usuário dentro da versão Free-for-Teacher do Canvas. Essa falha permitiu aos atacantes obter sessões administrativas autenticadas e realizar ações privilegiadas, como a injeção de scripts maliciosos para desfigurar as páginas de entrada da ferramenta.
Impacto na comunidade acadêmica
O ataque, atribuído por relatos ao grupo ShinyHunters, causou interrupções significativas durante o período de exames finais em diversas instituições ao redor do mundo. A natureza da plataforma, que centraliza o acesso a materiais de cursos, notas e atribuições, amplificou os efeitos da invasão:
- Desfiguração de portais de login com mensagens exigindo negociações de resgate.
- Suspensão temporária do acesso à plataforma em diversos países para conter a atividade maliciosa.
- Desativação das contas Free-for-Teacher pela Instructure como medida preventiva até a resolução definitiva das falhas.
Além da desfiguração, a Instructure revelou anteriormente ter sofrido uma extração de dados em um incidente relacionado, que pode incluir nomes, endereços de e-mail, nomes de cursos e mensagens privadas de usuários. A empresa afirma que, até o momento, não foram encontrados indícios de comprometimento de informações sensíveis, como senhas, dados financeiros ou números de identificação governamental.
Contexto de segurança em plataformas SaaS
Para instituições de ensino que dependem da digitalização do aprendizado, este incidente ilustra os riscos inerentes à centralização de dados em grandes plataformas na nuvem. A recorrência da exploração da mesma vulnerabilidade, mesmo após alertas iniciais, ressalta a complexidade enfrentada por provedores de software como serviço (SaaS) na manutenção de defesas contra táticas de extorsão que visam pressionar a infraestrutura em momentos críticos do calendário acadêmico.
A Instructure segue colaborando com especialistas forenses externos para a investigação do caso. Enquanto o Canvas foi restaurado para a maioria dos usuários, a empresa mantém a suspensão das contas gratuitas específicas enquanto implementa salvaguardas adicionais para mitigar riscos futuros de injeção de código e acessos não autorizados em seu ambiente operacional.
