Cibercriminosos roubam 275 milhões de dados de usuários do Canvas
Escrito por Mariana Silva
AtualizadoNo dia 1º de maio de 2026, a Instructure, empresa responsável pela plataforma de ensino Canvas, confirmou que sofreu um ataque cibernético. Dois dias depois, o grupo de extorsão ShinyHunters assumiu a autoria da invasão e publicou, ameaçando divulgar os dados caso não recebesse pagamento.
O Canvas, desenvolvido pela empresa americana Instructure, é um sistema de gerenciamento de aprendizagem (LMS) amplamente utilizado em universidades, escolas e empresas para centralizar a comunicação e o aprendizado, permitindo que professores publiquem materiais, alunos entreguem tarefas e todos interajam em um único ambiente digital.
Leia também: Entenda o vazamento de dados do Ubook
Sobre o ShinyHunters:
O ShinyHunters é um dos grupos de extorsão mais ativos do cibercrime internacional. Nas últimas semanas, o grupo listou como vítimas a Amtrak, a RockStar Games, a empresa de saúde Hims & Hers, a Hallmark, a Comissão Europeia e a Ameriprise Financial, além de ter vazado dados de Mytheresa, Zara, Carnival e 7-Eleven, sendo seu ataque mais recente contra a Udemy, empresa global de ensino e aprendizado online (EAD).
O grupo é consistente. Eles obtêm dados, exigem pagamento com prazo definido e publicam tudo caso a empresa não ceda à tentativa de chantagem.
Em 2025, o grupo realizou um ataque contra o Salesforce que comprometeu bases de dados de clientes corporativos. O ShinyHunters também havia vazado dados de 2,5 milhões de registros da Alert 360, empresa americana de segurança residencial e empresarial, após falha nas negociações de resgate.
Como o vazamento de dados aconteceu?
Em 30 de abril, a Instructure registrou interrupções em ferramentas que dependem de chaves de API (uma credencial digital que permite que sistemas diferentes se comuniquem entre si).
No dia seguinte, Steve Proud, o diretor de segurança da informação da empresa, confirmou publicamente o ataque e anunciou a contratação de especialistas externos para investigar o caso.
Em 2 de maio, a Instructure revogou credenciais comprometidas, aplicou correções de segurança, rotacionou chaves de acesso e ampliou o monitoramento das plataformas.
Na mesma atualização, confirmou quais dados foram acessados. A empresa afirmou não ter encontrado evidências de exposição de senhas, datas de nascimento, documentos governamentais ou informações financeiras.
Quais dados foram vazados?
- Dados pessoais: nomes pessoais
- Contato: telefone, celular e e-mail.
- Estudantil: números de identificação de estudantes
- Conversas: mensagens trocadas dentro da plataforma
Qual a quantidade de dados vazados e empresas afetadas?
Segundo os próprios criminosos, o vazamento compromete 3,65 terabytes de dados de cerca de 275 milhões de pessoas em aproximadamente 9 mil escolas e 15 mil instituições pelo mundo.
Entre as afetadas estão universidades como Harvard, Stanford e MIT, empresas como Amazon, Apple e Disney, agências do governo americano; além de instituições brasileiras como ESPM, EBAC, Estácio de Sá e UNIP.
Como se proteger dos ataques do ShinyHunters?
Este não é o primeiro ataque do grupo à Instructure: em outubro de 2025, o ShinyHunters já havia comprometido a instância Salesforce da empresa via vishing. Agora, com nomes, e-mails institucionais e IDs de estudantes em mãos, o risco mais imediato é o phishing em mensagens que imitam professores ou administradores.
Esses dados são um prato cheio para golpistas que podem usá-los para realizar ataques de phishing corporativo, criação de e-mails falsos para credenciais ou dinheiro. Os criminosos conseguem tornar as tentativas de golpe ainda mais convincentes por terem esses dados.
Para se proteger troque sua senha, ative a autenticação em dois fatores, desconfie de e-mails relacionados ao Canvas e consulte o site Have I Been Pwned (HIBP) para verificar se seus dados foram expostos.
