O grupo criminoso ShinyHunters invadiu a plataforma educacional Canvas, da Instructure, e acessou dados de aproximadamente 275 milhões de estudantes, professores e funcionários em todo o mundo. O ataque, confirmado pela empresa em 1º de maio de 2026, comprometeu nomes, e-mails, IDs de estudantes e mensagens internas, afetando cerca de 9 mil escolas e 15 mil instituições, incluindo Harvard, MIT, Stanford, agências do Departamento de Defesa dos EUA e empresas como Amazon, Apple e Goldman Sachs. Os criminosos ameaçam divulgar 3,65 terabytes de dados caso não recebam pagamento.
O setor de tecnologia educacional registrou em maio de 2026 o que pode ser o maior vazamento de dados Canvas da história. A Instructure, empresa responsável pela plataforma LMS Canvas, confirmou em 1º de maio que sofreu acesso não autorizado a dados de seus usuários. O impacto estimado chega a 275 milhões de pessoas em todo o mundo.
O grupo de extorsão ShinyHunters assumiu a autoria do ataque dois dias depois, em 3 de maio. Os criminosos publicaram a Instructure em seu site na dark web com a mensagem direta: “Pay or Leak”, pague ou os dados serão divulgados. Alegam ter roubado 3,65 terabytes de informações da empresa.
O que foi acessado e o que permanece seguro
A Instructure foi transparente ao delimitar o escopo do comprometimento. Os dados confirmados como acessados incluem nomes, endereços de e-mail, números de identificação de estudantes e mensagens trocadas dentro da plataforma.
A empresa afirma não ter encontrado evidências de exposição de senhas, datas de nascimento, documentos governamentais ou informações financeiras. Para líderes de TI e segurança, essa distinção importa ,mas não elimina o risco.
Dados como nomes, e-mails corporativos e histórico de comunicações internas são matéria-prima suficiente para campanhas de phishing altamente personalizadas. E é exatamente isso que o ShinyHunters costuma viabilizar após tentativas de extorsão malsucedidas.
Alcance sem precedentes: de Harvard ao Departamento de Defesa
O vazamento de dados Canvas não afetou apenas estudantes universitários. A lista de instituições potencialmente comprometidas revela um alcance que vai muito além do ambiente acadêmico tradicional.
Entre as instituições de ensino superior estão Harvard, Stanford, MIT, Columbia, Princeton, Yale e Penn State. Redes públicas de educação básica nos EUA também constam no levantamento, assim como instituições no Brasil, Reino Unido, Austrália, Holanda, Singapura e México.
O que surpreende especialistas em segurança é a presença de organizações corporativas e governamentais. Amazon, Cisco, Apple, Disney, Goldman Sachs e Dell figuram entre os afetados, assim como agências do Departamento de Defesa dos Estados Unidos. O Canvas detém 43% do mercado de LMS na América do Norte, com mais de 12 milhões de matrículas ativas, o que explica a capilaridade do ataque.
No total, aproximadamente 9.000 escolas e 15.000 instituições em quatro continentes foram comprometidas.
Como o ataque aconteceu e o que veio antes
Os primeiros sinais do comprometimento foram percebidos em 30 de abril de 2026, quando a Instructure identificou falhas em ferramentas que dependiam de chaves de API. A confirmação oficial veio um dia depois.
O vetor inicial do ataque ainda está sendo investigado, mas o histórico do ShinyHunters aponta para técnicas sofisticadas de engenharia social. Em outubro de 2025, o mesmo grupo já havia sido associado a uma tentativa de ataque contra a Instructure usando vishing, engenharia social por voz, em que criminosos se passam por funcionários ou parceiros para obter credenciais de acesso.
Desta vez, os atacantes alegam ter ido além do ambiente Canvas. Segundo o grupo, eles também acessaram a instância Salesforce da Instructure, o sistema de CRM da empresa. Se confirmado, isso indica uma cadeia de ataque mais ampla, com potencial de expor dados de relacionamentos comerciais, contratos e comunicações estratégicas.
ShinyHunters: um adversário de alta periculosidade
Para equipes de segurança que ainda não conhecem o perfil do grupo, os dados de contexto são relevantes. O ShinyHunters é responsável por algumas das maiores violações de dados dos últimos anos.
Em 2024, o grupo atacou a Ticketmaster e expôs 560 milhões de registros, um dos maiores roubos de dados de consumidores já divulgados publicamente. AT&T e Santander também figuram entre suas vítimas conhecidas.
O padrão operacional do grupo é consistente: invasão, extração de dados, publicação do alvo na dark web com prazo de pagamento e, em caso de recusa, divulgação pública dos arquivos. Esse histórico torna a exposição total dos dados do vazamento de dados Canvas uma possibilidade concreta, não apenas uma ameaça retórica.
Implicações legais e regulatórias para o setor
O ataque levanta questões regulatórias sérias, especialmente nos Estados Unidos. Duas legislações são diretamente aplicáveis ao caso.
A FERPA, lei federal que protege registros educacionais de estudantes — impõe obrigações estritas sobre o armazenamento e o compartilhamento de dados acadêmicos. A COPPA, por sua vez, regula especificamente a coleta de dados de menores de 13 anos. Com 9.000 escolas de educação básica potencialmente afetadas, a presença de dados de crianças no volume comprometido é uma hipótese que as autoridades dificilmente ignorarão.
No Brasil, a LGPD exige notificação à ANPD e aos titulares dos dados em casos de incidentes com potencial de risco. Instituições brasileiras listadas entre as afetadas precisarão avaliar suas obrigações legais com urgência.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!