A empresa Instructure, criadora do software Canvas usado por escolas e universidades, pagou criminosos virtuais para que eles deletassem os dados roubados de milhões de estudantes. O ataque hacker afetou cerca de 9.000 instituições nos EUA, Canadá, Austrália e Reino Unido, causando caos em provas e trabalhos online. Apesar de pagar o resgate, especialistas alertam que isso pode incentivar novos crimes e não garante que as informações foram realmente apagadas.
Imagem de arquivo mostrando alunos de universidade dos EUA fazendo provas
A empresa por trás do popular software Canvas, que foi hackeada na semana passada causando um grande caos em milhares de faculdades e universidades, pagou os criminosos para não publicarem os dados roubados na internet.
O ataque cibernético afetou cerca de 9.000 instituições nos Estados Unidos, Canadá, Austrália e Reino Unido. Provas foram interrompidas depois que o serviço do Canvas parou de funcionar.
- O ataque afetou 9.000 escolas e universidades em todo o mundo
- Os hackers roubaram 3,5 terabytes de dados de alunos e faculdades
- A empresa Canvas pagou para que os criminosos deletassem as informações
- Especialistas dizem que pagar hackers pode incentivar mais ataques
- Não há garantia de que os dados foram realmente apagados
Os hackers ameaçaram publicar 3,5 terabytes de dados de alunos e universidades que eles roubaram na invasão.
A Instructure, empresa que fabrica o Canvas, confirmou que "chegou a um acordo" com os hackers. Eles disseram que deletaram os dados e prometeram não extorquir nenhum aluno ou instituição.
Pagar criminosos cibernéticos vai contra o conselho das autoridades policiais do mundo todo. Isso pode incentivar mais ataques e não garante que os dados foram realmente apagados.
Em casos anteriores, criminosos aceitaram pagamentos de resgate, mas mentiram sobre ter destruído os dados roubados. Em vez disso, eles guardaram as informações para vender.
Por exemplo, quando o notório grupo de ransomware LockBit foi hackeado pela Agência Nacional de Crimes do Reino Unido, a polícia descobriu que os dados roubados não tinham sido deletados, mesmo depois dos pagamentos terem sido feitos.
A decisão da empresa
A Instructure disse em um comunicado em seu site que proteger os dados dos alunos e funcionários das escolas era sua principal motivação.
"Embora nunca haja certeza total ao lidar com criminosos cibernéticos, acreditamos que era importante dar todos os passos que estavam ao nosso alcance para dar mais tranquilidade aos clientes", disse a empresa.
A Instructure não detalhou os termos do acordo, mas disse que isso significava que:
- os dados foram devolvidos para a empresa
- a empresa recebeu "confirmação digital da destruição dos dados"
- foi informada que nenhum cliente da Instructure seria extorquido por causa do incidente
- o acordo cobre todos os clientes afetados, sem que ninguém precise negociar com os hackers
Como o ataque aconteceu
A invasão foi descoberta em 29 de abril e foi reivindicada online pelo grupo de extorsão Shiny Hunters, que é conhecido por muitos ataques.
Nem os hackers nem a empresa estão dizendo explicitamente que dinheiro foi trocado, mas grupos de extorsão cibernética como o Shiny Hunters funcionam forçando suas vítimas a enviar dinheiro em bitcoin após uma negociação por um chat criptografado.
É incomum que vítimas de ataques cibernéticos admitam publicamente que pagaram hackers, mas a Instructure manteve um alto nível de transparência, dando atualizações regulares em seu site.
Essa abertura pode ser parcialmente porque o ataque foi muito visível e afetou os alunos diretamente.
Alunos fazendo provas nos EUA foram particularmente afetados. Eles perderam o acesso ao Canvas para revisar a matéria e, em alguns casos, tiveram provas online interrompidas.
O relato de um estudante
Aubrey Palmer, um estudante de meteorologia da Universidade Estadual do Mississippi, contou à BBC que ele e outros alunos tinham acabado de escrever uma redação de 2.900 palavras para uma prova quando uma mensagem de resgate apareceu de repente em suas telas.
A mensagem dizia: "Shiny Hunters invadiu a Instructure (de novo)".
Ela ameaçava divulgar os dados roubados a menos que um resgate fosse pago em bitcoin pelo Canvas ou pelas universidades afetadas.
"Minha reação instantânea foi que eu tinha sido hackeado, porque era o que parecia", disse Aubrey. "Mas então eu li a mensagem de resgate e vi que era o Canvas que tinha sido hackeado."
Aubrey acrescentou que dezenas de alunos receberam a mesma mensagem, e houve confusão na sala de prova sobre se o trabalho deles tinha sido salvo.
A Universidade Estadual do Mississippi anunciou mais tarde que algumas provas seriam adiadas para permitir que os alunos recuperassem qualquer trabalho perdido.
Quem são os Shiny Hunters
O grupo Shiny Hunters é conhecido por invadir organizações, roubar dados e depois pressionar publicamente as vítimas a pagar resgates em bitcoin.
O grupo já foi ligado a outras invasões, incluindo ataques à Jaguar Land Rover e à Gucci. Os criminosos falam inglês e acredita-se que sejam jovens.
Em mensagens no Telegram trocadas com a BBC, o Shiny Hunters disse que tinha hackeado o Canvas duas vezes antes do ataque da última quinta-feira.
A Instructure já tinha revelado uma invasão em setembro de 2025 em uma postagem em seu blog.
O Shiny Hunters também afirmou que invadiu a empresa novamente em abril de 2026, antes do ataque de 29 de abril.
Quando perguntado como se sentia sobre o estresse e a confusão causados a alunos como Aubrey Palmer, o grupo disse: "Não temos comentários sobre isso."
O grupo não quis dizer quanto foi pago pela Instructure.
