Legisladores dos EUA pressionam Instructure por ciberataques ao Canvas que afetam escolas

Legisladores norte-americanos intensificam a pressão sobre a Instructure depois que dois ataques à sua plataforma de aprendizado Canvas expuseram dados de alunos e atrapalharam escolas durante as provas finais. Em uma carta enviada esta semana, o Comitê de Segurança Interna da Câmara pediu que a empresa informe o Congresso até 21 de maio sobre o que aconteceu, como as invasões foram contidas e como a Instructure está coordenando com agências federais.

Isso importa porque o Canvas é infraestrutura central para faculdades, distritos escolares e programas online. Uma brecha em um sistema de gestão de aprendizado não cria apenas risco de privacidade: pode também interromper provas, trabalhos, comunicação entre professor e aluno e fluxos administrativos no pior momento possível do calendário acadêmico.

Segundo o BleepingComputer, que primeiro reportou partes-chave do incidente, a Instructure disse ter detectado a invasão original em 29 de abril e depois confirmou que os atacantes roubaram nomes, endereços de e-mail, números de identificação de alunos e mensagens trocadas entre estudantes e professores. A empresa afirmou que senhas, dados financeiros e identificadores governamentais não estavam no conjunto exposto. O ShinyHunters alegou ter roubado 280 milhões de registros de 8.809 escolas, faculdades e plataformas educacionais, mas esse número vem dos atacantes e deve ser tratado com cautela até verificação independente.

A segunda fase da campanha parece ter elevado o nível para os reguladores. Os atacantes teriam desfigurado portais de login do Canvas em instituições de vários estados, postando mensagens de extorsão e forçando algumas escolas a cancelar provas. O BleepingComputer também reportou que os invasores usaram múltiplas vulnerabilidades de cross-site scripting para sequestrar sessões de administradores autenticados e alterar páginas de login. O Comitê de Segurança Interna afirmou que escolas na Califórnia, Flórida, Geórgia, Oklahoma, Oregon, Nevada, Carolina do Norte, Tennessee, Utah, Virgínia e Wisconsin relataram interrupções relacionadas.

A exigência do Congresso por depoimento transforma este caso de uma grande violação no setor educacional em uma história mais ampla de responsabilização. Se investigadores federais concluírem que a resposta da Instructure ou a segurança da plataforma ficaram aquém, as consequências podem ir além de notificações de violação, incluindo revisões de contratos, pressão regulatória e exigências de segurança mais duras para softwares usados por instituições públicas. Conforme primeiro reportado pelo BleepingComputer, a Instructure desde então firmou um acordo para impedir o vazamento público dos dados roubados, embora a empresa não tenha dito diretamente se um resgate foi pago.