Instructure conclut un accord pour empêcher une fuite massiv

Instructure a conclu un accord avec le groupe d'extorsion ShinyHunters afin d'empêcher la fuite de données appartenant à 275 millions d'utilisateurs de la plateforme Canvas LMS. L'accord, finalisé cette semaine, fait suite à une violation massive au cours de laquelle des pirates ont exfiltré 3,6 To d'informations auprès du fournisseur de logiciels éducatifs. Dans le cadre de cette résolution, le groupe a restitué les fichiers volés et fourni des preuves numériques de leur destruction.

L'incident de sécurité a pris naissance dans l'environnement Free-for-Teacher du système de gestion de l'apprentissage Canvas LMS. Les attaquants ont exploité une vulnérabilité de type cross-site scripting (XSS) pour obtenir un accès non autorisé à cet ensemble massif de données. Bien que la brèche ait affecté environ 9 000 écoles dans le monde, Instructure a précisé que les données volées ne comprenaient pas d'informations hautement sensibles telles que les mots de passe des utilisateurs ou des dossiers financiers.

Destruction des données et sécurité des utilisateurs

Pour vérifier que la menace a été neutralisée, le groupe ShinyHunters a fourni à Instructure des journaux de déchiquetage numérique (shred logs). Ces journaux servent de confirmation technique que les pirates ont supprimé leurs copies du jeu de données de 3,6 To. La négociation a abouti juste avant l'expiration d'un délai fixé par les extorqueurs au 12 mai 2026, interrompant ainsi la publication des informations relatives aux étudiants et au personnel.

Pour les millions d'étudiants et d'éducateurs utilisant Canvas LMS, cet accord réduit le risque immédiat d'usurpation d'identité ou d'attaques de phishing ciblées basées sur les données volées. Instructure n'a pas divulgué les conditions financières spécifiques de l'accord, mais a souligné que cette mesure était nécessaire pour protéger la vie privée de sa base d'utilisateurs mondiale. L'entreprise continue de surveiller ses systèmes pour détecter d'autres vulnérabilités après avoir corrigé la faille XSS initiale.

L'ampleur de la violation de Canvas LMS met en évidence les risques permanents auxquels sont confrontées les plateformes de technologie éducative qui gèrent de vastes quantités de données d'étudiants. En garantissant la destruction des 3,6 To de données, Instructure vise à restaurer la confiance des 9 000 institutions qui comptent sur son logiciel pour l'enseignement quotidien. L'entreprise se concentre désormais sur le renforcement de la sécurité de son offre Free-for-Teacher afin de prévenir des exploits similaires à l'avenir. Cette résolution est un cas rare où une entreprise a réussi à négocier la suppression vérifiable de dossiers volés auprès d'un groupe d'extorsion de haut profil.

Bien que nous nous efforcions d'être précis, bytevyte peut commettre des erreurs. Il est conseillé aux utilisateurs de vérifier toutes les informations de manière indépendante. Nous déclinons toute responsabilité en cas d'erreurs ou d'omissions.

✔Human Verified