Instructure raggiunge un accordo per prevenire un massiccio

Instructure ha ottenuto un accordo con il gruppo di estorsione ShinyHunters per prevenire la fuga di dati appartenenti a 275 milioni di utenti della piattaforma Canvas LMS. L'accordo, finalizzato questa settimana, segue una massiccia violazione in cui gli hacker hanno esfiltrato 3,6 TB di informazioni dal fornitore di software educativo. Come parte della risoluzione, il gruppo ha restituito i file rubati e fornito prove digitali della loro distruzione.

L'incidente di sicurezza ha avuto origine nell'ambiente Free-for-Teacher del sistema di gestione dell'apprendimento Canvas LMS. Gli aggressori hanno sfruttato una vulnerabilità di cross-site scripting (XSS) per ottenere l'accesso non autorizzato al massiccio set di dati. Sebbene la violazione abbia interessato circa 9.000 scuole a livello globale, Instructure ha chiarito che i dati rubati non includevano informazioni altamente sensibili come password degli utenti o record finanziari.

Distruzione dei dati e sicurezza degli utenti

Per verificare che la minaccia sia stata neutralizzata, il gruppo ShinyHunters ha fornito a Instructure i log di distruzione digitale (shred logs). Questi log fungono da conferma tecnica che gli hacker hanno eliminato le loro copie del dataset da 3,6 TB. La negoziazione è giunta a conclusione proprio mentre stava per scadere il termine del 12 maggio 2026 fissato dagli estorsori, bloccando di fatto il rilascio pubblico delle informazioni di studenti e personale.

Per i milioni di studenti ed educatori che utilizzano Canvas LMS, questo accordo riduce il rischio immediato di furto d'identità o attacchi di phishing mirati basati sui dati rubati. Instructure non ha reso noti i termini finanziari specifici dell'accordo, ma ha sottolineato che la mossa era necessaria per proteggere la privacy della sua base di utenti globale. L'azienda continua a monitorare i propri sistemi per ulteriori vulnerabilità dopo la correzione della falla XSS iniziale.

L'entità della violazione di Canvas LMS evidenzia i rischi continui affrontati dalle piattaforme di tecnologia educativa che gestiscono enormi quantità di dati degli studenti. Assicurando la distruzione dei 3,6 TB di dati, Instructure mira a ripristinare la fiducia tra le 9.000 istituzioni che si affidano al suo software per l'istruzione quotidiana. L'azienda si sta ora concentrando sul rafforzamento della sicurezza del suo livello Free-for-Teacher per prevenire exploit simili in futuro. Questa risoluzione è un raro caso in cui un'azienda ha negoziato con successo la cancellazione verificabile di record rubati da un gruppo di estorsione di alto profilo.

Sebbene ci impegniamo per l'accuratezza, bytevyte può commettere errori. Si consiglia agli utenti di verificare tutte le informazioni in modo indipendente. Non accettiamo alcuna responsabilità per errori o omissioni.

✔Human Verified