ShinyHunters ha violato Instructure Canvas LMS, rivendicando 275 milioni di utenti e 3,65 TB di dati degli studenti provenienti da 9.000 scuole, comprese 44 istituzioni olandesi.

      TL;DRShinyHunters ha violato il sistema di gestione dell'apprendimento Canvas di Instructure, rivendicando 3,65 terabyte di dati da 275 milioni di utenti in 9.000 istituzioni in tutto il mondo, comprese le comunicazioni private tra studenti e insegnanti. Quarantaquattro università e scuole olandesi sono confermate come colpite, e la violazione, la seconda in otto mesi per Instructure, espone il rischio strutturale della concentrazione dei fornitori nella tecnologia educativa. La più grande violazione di dati nel settore dell'istruzione della storia non è stata un attacco a una scuola. È stato un attacco a un fornitore. Il 30 aprile, gli hacker hanno sfruttato una vulnerabilità nei sistemi di Instructure, l'azienda che produce Canvas, il sistema di gestione dell'apprendimento utilizzato dal 41% delle istituzioni di istruzione superiore in Nord America. Il gruppo criminale ShinyHunters, che in precedenza ha orchestrato gli attacchi alla catena di fornitura Snowflake che hanno compromesso Ticketmaster e AT&T, afferma di aver rubato 3,65 terabyte di dati che interessano 275 milioni di utenti in quasi 9.000 istituzioni educative in tutto il mondo, comprese le comunicazioni private tra studenti, insegnanti e personale. Nei Paesi Bassi, 44 università e scuole sono confermate come colpite, dall'Università di Amsterdam e Vrije Universiteit all'Università di Scienze Applicate dell'Aia. Le autorità olandesi hanno avvisato studenti e personale di essere vigili. Gli hacker hanno detto a Instructure di pagare entro l'8 maggio o i dati diventeranno pubblici. E la violazione espone una vulnerabilità strutturale nel modo in cui l'istruzione è stata digitalizzata: le scuole non hanno scelto di essere attaccate e non avrebbero potuto prevenirlo, perché la decisione di affidare i dati degli studenti a un unico fornitore è stata presa anni fa, e la sicurezza del fornitore non è mai stata sotto il loro controllo. L'azienda Instructure è stata fondata nel 2008 e ha costruito Canvas nella piattaforma di gestione dell'apprendimento dominante negli Stati Uniti, superando Blackboard per rivendicare il 31% del mercato LMS dell'istruzione superiore nordamericana entro il 2018. L'azienda è diventata pubblica nel 2015, è stata presa in privato da Thoma Bravo in un affare da due miliardi di dollari nel 2020 ed è stata venduta di nuovo a KKR e Dragoneer Investment Group nel novembre 2024 per 4,8 miliardi di dollari. L'azienda ora opera come entità privata di proprietà di uno dei più grandi gestori di asset alternativi al mondo, servendo circa 200 milioni di studenti in oltre 100 paesi. I suoi prodotti includono Canvas LMS, Canvas Studio per l'apprendimento basato su video e Mastery Assessment per il monitoraggio delle competenze. La piattaforma è integrata nella vita accademica quotidiana degli studenti dalla scuola secondaria ai programmi post-laurea, gestendo materiali del corso, invii di compiti, voti e, in modo critico, messaggi diretti tra studenti ed educatori. Questa è la seconda violazione confermata di Instructure in circa otto mesi. A settembre 2025, ShinyHunters ha sfruttato un attacco di ingegneria sociale contro l'ambiente Salesforce dell'azienda. L'attacco di aprile 2026 ha sfruttato una vulnerabilità nei sistemi di produzione di Instructure, che l'azienda afferma essere stata successivamente corretta. Il chief information security officer di Instructure, Steve Proud, ha notificato ai clienti il 1° maggio che l'azienda aveva subito un incidente di cybersicurezza, confermando che i dati esposti potrebbero includere nomi, indirizzi email, numeri di identificazione degli studenti e messaggi di Canvas Inbox e Discussion. L'azienda afferma che non ci sono indicazioni che le date di nascita, gli identificatori governativi, le informazioni finanziarie o le password siano state compromesse. Ma l'inclusione di messaggi privati, che potrebbero contenere numeri di telefono, indirizzi di casa e informazioni personali condivise nell'aspettativa di privacy, rende la violazione qualitativamente diversa da una tipica fuga di dati di email e nomi. Gli attaccanti ShinyHunters sono un gruppo criminale di hacking ed estorsione attivo dal 2020 e sono diventati uno dei ladri di dati più prolifici al mondo. Il gruppo, ritenuto composto da un piccolo numero di membri chiave con sede in Canada e Francia, si specializza nel mirare a aziende che forniscono servizi a più organizzazioni, consentendo a una singola violazione di propagarsi attraverso migliaia di vittime. Nel 2024, ShinyHunters ha orchestrato la campagna della catena di fornitura Snowflake, compromettendo circa 165 organizzazioni tra cui Ticketmaster, dove sono stati esposti 560 milioni di record, e AT&T, dove sono stati rubati dati su 110 milioni di clienti. AT&T ha pagato un riscatto di 370.000 dollari per far cancellare i dati. Nel marzo 2026, ShinyHunters ha violato la Commissione Europea, rivelando 350 gigabyte di dati da 42 clienti interni e almeno 29 entità dell'UE. Il metodo del gruppo è coerente: identificare un fornitore o una piattaforma con accesso a grandi volumi di dati, sfruttare una vulnerabilità o un vettore di ingegneria sociale, esfiltrare i dati e richiedere un pagamento sotto minaccia di rilascio pubblico. La violazione di Instructure segue precisamente questo schema. ShinyHunters ha pubblicato la sua rivendicazione su un forum del dark web il 2 maggio, elencando 8.809 distretti scolastici, università e piattaforme di educazione online con conteggi di record per istituzione. Il gruppo ha avvertito Instructure di "prendere la decisione giusta" entro il 6 maggio, successivamente estesa all'8 maggio, o affrontare il rilascio dell'intero dataset insieme a quelli che ha descritto come "diversi fastidiosi problemi digitali". Gli hacker affermano di possedere miliardi di messaggi privati. L'industria della cybersicurezza ha previsto che il 2026 sarebbe stato l'anno dell'AI di sicurezza governata, con sistemi di rilevamento e risposta automatizzati alle minacce che raggiungono la maturità operativa. La violazione di Instructure suggerisce che il divario di governance tra la postura di sicurezza aziendale e la capacità degli attaccanti rimane ampio, e che le organizzazioni più vulnerabili non sono quelle con la sicurezza più debole, ma quelle i cui fornitori hanno il raggio d'azione più ampio. La vulnerabilità Il problema strutturale che la violazione espone è la concentrazione dei fornitori. Canvas domina il suo mercato perché è buono: la piattaforma è ben progettata, affidabile e profondamente integrata nei flussi di lavoro istituzionali. Ma il dominio significa che un singolo fallimento di sicurezza in una singola azienda può compromettere i registri accademici e le comunicazioni private degli studenti in 9.000 istituzioni in decine di paesi contemporaneamente. Le scuole e le università colpite dalla violazione non hanno avuto alcun ruolo nelle decisioni di sicurezza che l'hanno consentita. Non sono state consultate riguardo alla vulnerabilità che è stata sfruttata. Non possono auditare in modo indipendente la sicurezza dei sistemi che detengono i dati dei loro studenti. Sono, nel linguaggio della cybersicurezza, a valle. L'Europa ha smantellato e riscritto il proprio regolamento nel tentativo di bilanciare innovazione e sicurezza, ma la violazione di Canvas dimostra che il settore dell'istruzione si trova in un divario normativo: le scuole sono soggette a obblighi di protezione dei dati ai sensi del GDPR e, nei Paesi Bassi, alla nuova Legge sulla Cybersicurezza che recepisce NIS2, eppure la loro capacità di soddisfare tali obblighi dipende dalle pratiche di sicurezza di una società privata di proprietà di una società di private equity su un altro continente. Le continue difficoltà dell'UE nel finalizzare le modifiche alla sua Legge sull'AI illustrano la sfida più ampia: la regolamentazione è costantemente in ritardo rispetto alla velocità con cui la tecnologia concentra i dati e alla velocità con cui gli attaccanti sfruttano tale concentrazione. NIS2 impone requisiti di segnalazione delle violazioni e multe fino a 10 milioni di euro o il due per cento del fatturato globale per non conformità, e la Legge sulla Resilienza Cibernetica, che inizia ad applicarsi a settembre 2026, obbligherà alla segnalazione delle vulnerabilità per i prodotti