Vazamento de dados de 8 mil escolas é impedido após acordo com criminosos

A Instructure, empresa responsável pela plataforma de ensino Canvas, chegou a um acordo com o grupo criminoso ShinyHunters e evitou a publicação dos dados roubados de cerca de 275 milhões de estudantes, professores e funcionários de 8.809 instituições de ensino ao redor do mundo. A empresa confirmou o acerto nesta segunda-feira, 12 de maio, mesmo dia em que o ShinyHunters havia dado como prazo final para negociações.

Segundo a Instructure, o grupo devolveu os dados roubados e forneceu logs de destruição, registros digitais que confirmam que os arquivos foram apagados. A empresa afirmou ainda que nenhuma instituição afetada será extorquida individualmente como resultado deste incidente.

Acordo cobre todas as instituições afetadas

Em comunicado publicado em seu site oficial, a Instructure informou que o acordo vale para todos os clientes impactados. Isso significa que as escolas e universidades não precisam entrar em contato separadamente com o grupo para negociar.

Essa informação é relevante porque, nos dias anteriores, o ShinyHunters havia mudado de tática e passado a exigir que cada uma das 8.809 instituições negociasse individualmente. O prazo dado era justamente hoje (12).

O ShinyHunters removeu a Instructure do seu site de extorsão na dark web. Esse movimento costuma indicar que a vítima pagou ou iniciou negociações. A Instructure não confirmou se houve pagamento em dinheiro nem o valor envolvido.

FBI alerta sobre pagamento de resgates

Vale lembrar que pagar um resgate não oferece garantias. O FBI adverte repetidamente que criminosos podem vender os dados roubados para terceiros ou voltar a extorquir a mesma vítima no futuro, mesmo após receberem o pagamento. 

Ou seja, embora o acordo encerre a ameaça imediata de publicação, não há como ter certeza absoluta de que os dados foram de fato destruídos ou de que não circulam em outros ambientes criminosos.

Como o ataque foi feito

O TecMundo noticiou nas últimas semanas os principais eventos deste caso. A invasão inicial aconteceu no fim de abril, quando o ShinyHunters explorou uma falha no Free-For-Teacher, o plano gratuito do Canvas voltado para professores individuais, e roubou 3,65 terabytes de dados.

Os dados acessados incluem nomes de usuário, endereços de e-mail, nomes de cursos, informações de matrícula e mensagens trocadas dentro da plataforma. A Instructure afirmou que senhas, conteúdos de cursos, trabalhos enviados e informações financeiras não foram comprometidos.

No dia 7 de maio, o grupo voltou a atacar usando a mesma brecha original, desta vez para desfigurar as páginas de login do Canvas de aproximadamente 330 instituições. Segundo a empresa de segurança Halcyon, o ShinyHunters injetou código JavaScript malicioso em funcionalidades de conteúdo gerado por usuários, explorando falhas do tipo XSS, sigla para cross-site scripting.

Esse tipo de ataque permite que um criminoso execute código dentro do navegador de outra pessoa, neste caso obtendo sessões administrativas autenticadas para realizar ações privilegiadas dentro da plataforma.

CEO da Instructure pede desculpas pela falta de comunicação

Em carta aberta publicada junto ao comunicado, o CEO da Instructure, Steve Daly, pediu desculpas pela demora nas atualizações durante a crise. Ele reconheceu que a empresa priorizou a apuração dos fatos e ficou em silêncio quando os clientes precisavam de respostas.

Daly anunciou a criação de uma página dedicada a atualizações sobre o incidente e confirmou um webinar com a liderança da empresa para o dia 13 de maio, com sessões em diferentes fusos horários.

O Free-For-Teacher segue desativado enquanto a Instructure realiza uma revisão completa de segurança do ambiente.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.