A Instructure, gigante norte-americana de tecnologia educativa responsável pelo popular sistema de gestão de aprendizagem Canvas, confirmou ter chegado a um acordo com o perigoso grupo de extorsão ShinyHunters. O objetivo central desta medida drástica foi impedir a publicação online dos dados confidenciais roubados durante o mais recente ataque informático às suas infraestruturas.
A plataforma Canvas é atualmente uma peça central no quotidiano académico global, sendo utilizada por mais de 30 milhões de estudantes e professores espalhados por cerca de 8000 escolas e universidades em todo o mundo. Num comunicado divulgado de acordo com as informações oficiais da Instructure, a empresa revelou que o grupo criminoso devolveu as informações e entregou registos que supostamente comprovam a destruição definitiva dos ficheiros.
A liderança da empresa garantiu que nenhum cliente ou instituição de ensino será alvo de extorsão direta na sequência desta invasão. Sublinhou ainda que o acordo abrange toda a comunidade afetada, apelando aos utilizadores para que não tentem entrar em contacto com os piratas informáticos de forma individual.
O perigo da confiança e a mecânica da invasão
Apesar das garantias apresentadas pelo grupo de cibercrime, o pagamento de resgates continua a ser uma prática fortemente desaconselhada pelas autoridades internacionais, como o FBI. O cumprimento das exigências financeiras não assegura que os criminosos apaguem efetivamente os registos, mantendo-se sempre o risco latente de os dados serem posteriormente vendidos em fóruns da dark web ou utilizados para novas campanhas de chantagem.
A investigação interna confirmou que os ShinyHunters tiraram partido de uma vulnerabilidade no ambiente "Free-for-Teacher", uma modalidade gratuita e mais limitada do Canvas desenhada para professores individuais. O grupo de piratas conseguiu extrair mais de 3,6 TB de informação não comprimida.
Repetição do ataque e injeção de código
Numa demonstração de força, os atacantes voltaram a invadir os sistemas da Instructure recorrendo à mesma falha original. Esta segunda intrusão serviu para desfigurar as páginas de início de sessão de várias instituições, deixando uma mensagem pública com um ultimato para o pagamento do resgate.
A falha de segurança esteve associada à exploração de múltiplas vulnerabilidades de Cross-Site Scripting (XSS). Os cibercriminosos injetaram código JavaScript malicioso através de funcionalidades destinadas à criação de conteúdos pelos utilizadores, tática que lhes permitiu roubar sessões autenticadas de administradores e assumir o controlo privilegiado da plataforma.
O serviço já foi totalmente restabelecido e as contas gratuitas visadas foram temporariamente desativadas enquanto a equipa técnica aplica as devidas correções de segurança. A Instructure agendou ainda uma conferência online para partilhar mais detalhes técnicos sobre o incidente e apresentar as novas defesas implementadas.
Este não é o primeiro embate da empresa com o grupo ShinyHunters, que já tinha reivindicado uma invasão aos servidores da organização associados ao serviço Salesforce. O mesmo coletivo criminoso mantém um historial extenso de alvos de alto perfil, no qual se incluem nomes de peso como a Google, a Cisco, a Rockstar Games e a Comissão Europeia.
Nenhum comentário
Seja o primeiro!