Professores, estudantes e funcionários de milhares de instituições de ensino escaparam de um grande vazamento de dados após um acordo firmado entre a Instructure, empresa responsável pela plataforma Canvas, e o grupo criminoso ShinyHunters. A negociação evitou que informações de aproximadamente 275 milhões de pessoas fossem publicadas na internet.
A confirmação do acordo foi divulgada pela empresa nesta segunda-feira, 12 de maio, mesma data definida pelos criminosos como prazo final para as negociações.
De acordo com a Instructure, o grupo devolveu os arquivos roubados e apresentou registros digitais que comprovariam a destruição dos dados obtidos durante o ataque. A companhia também afirmou que nenhuma das instituições afetadas será alvo de extorsões individuais relacionadas a esse incidente.
Acordo envolve todas as instituições atingidas
Em comunicado oficial, a empresa informou que o acerto realizado cobre todas as 8.809 escolas e universidades impactadas pelo vazamento. Dessa forma, nenhuma instituição precisará negociar separadamente com os criminosos.
A informação ganhou importância porque, dias antes, o ShinyHunters havia alterado sua estratégia e começado a exigir acordos individuais com cada organização afetada. O prazo para essas negociações terminava justamente nesta segunda-feira.
A Instructure não revelou detalhes financeiros do acordo nem confirmou oficialmente se houve pagamento ao grupo. A companhia apenas declarou que a decisão foi tomada para proteger sua comunidade de usuários.
Outro detalhe que reforçou as suspeitas de negociação foi a remoção do nome da Instructure do site de extorsão operado pelo ShinyHunters na dark web. Em ataques desse tipo, esse comportamento geralmente indica que um entendimento foi alcançado entre as partes.
FBI faz alerta sobre pagamento de resgates
Apesar da resolução imediata do problema, especialistas em segurança alertam que acordos com criminosos não garantem proteção total. O FBI já declarou diversas vezes que o pagamento de resgates não assegura que os dados serão realmente apagados.
Segundo o órgão norte-americano, há casos em que grupos criminosos mantêm cópias das informações roubadas, revendem os dados para terceiros ou até mesmo voltam a extorquir as vítimas futuramente.
Isso significa que, embora o risco de divulgação pública tenha sido reduzido, ainda não existe garantia absoluta de que os arquivos não estejam circulando em outros ambientes ilegais.
Como aconteceu o ataque ao Canvas
O ataque começou no fim de abril, quando o ShinyHunters explorou uma vulnerabilidade presente no Free-For-Teacher, modalidade gratuita do Canvas destinada a professores independentes.
A falha permitiu o roubo de cerca de 3,65 terabytes de dados ligados à plataforma educacional.
Entre as informações acessadas estavam nomes de usuários, endereços de e-mail, cursos cadastrados, dados de matrícula e mensagens trocadas dentro do sistema. Segundo a Instructure, senhas, conteúdos de aulas, trabalhos enviados pelos alunos e dados financeiros não foram comprometidos.
Novo ataque atingiu centenas de instituições
Dias depois da invasão inicial, o grupo voltou a utilizar a mesma brecha de segurança para lançar uma nova ofensiva.
No dia 7 de maio, aproximadamente 330 instituições tiveram suas páginas de login do Canvas alteradas pelos criminosos.
Segundo informações divulgadas pela empresa de segurança Halcyon, o ShinyHunters explorou vulnerabilidades do tipo XSS, sigla para cross-site scripting, inserindo códigos JavaScript maliciosos em áreas da plataforma que permitiam conteúdo gerado por usuários.
Canvas é usado em milhares de instituições
Fundada em 2008, a Instructure é uma empresa norte-americana especializada em tecnologia educacional. Seu principal produto, o Canvas, é utilizado por mais de 30 milhões de estudantes e professores ao redor do mundo.
Atualmente, a plataforma atende mais de 8 mil instituições de ensino, incluindo escolas, universidades e organizações acadêmicas de diversos países.