O Comité de Segurança Interna da Câmara dos Representantes dos Estados Unidos emitiu um ultimato aos executivos da Instructure, exigindo que testemunhem perante as autoridades sobre os recentes ciberataques perpetrados pelo grupo de extorsão ShinyHunters. As intrusões na plataforma Canvas resultaram no roubo de dados sensíveis de estudantes e causaram perturbações graves em várias escolas norte-americanas, coincidindo de forma crítica com a época de exames finais.
De acordo com as informações avançadas pelo BleepingComputer, a investigação foi formalizada através de uma carta enviada a Steve Daly, CEO da Instructure. O presidente do Comité, Andrew R. Garbarino, sublinhou a gravidade da situação, destacando que o sistema de gestão de aprendizagem, utilizado por dezenas de milhões de alunos, educadores e administradores, foi comprometido duas vezes no espaço de apenas uma semana.
A dimensão do roubo de dados e o impacto nas escolas
A Instructure confirma ataque informático e investiga impacto na plataforma Canvas desde que a primeira intrusão foi detetada. A empresa confirmou que os atacantes acederam aos sistemas e extraíram informações que incluem nomes, endereços de email, números de identificação de estudantes e mensagens privadas trocadas entre alunos e professores. A entidade tecnológica reiterou, no entanto, que não foram expostas palavras-passe, dados financeiros ou números de identificação governamentais.
O grupo ShinyHunters reivindicou a autoria da ofesiva, alegando ter na sua posse cerca de 280 milhões de registos retirados de 8.809 faculdades, distritos escolares e plataformas de educação online. Para demonstrar a veracidade das suas afirmações, os piratas informáticos publicaram uma lista das organizações afetadas, onde a contagem de registos roubados variava entre dezenas de milhares e vários milhões por cada instituição de ensino.
O segundo ataque e a alteração dos portais de acesso
Não satisfeitos com a extração de dados, os cibercriminosos lançaram um segundo ataque focado na disrupção direta das atividades académicas. Recorrendo a múltiplas vulnerabilidades de cross-site scripting (XSS), os atacantes conseguiram obter sessões ativas de administrador e modificaram as páginas de início de sessão da plataforma Canvas em várias universidades dos Estados Unidos.
Os ecrãs de acesso foram alterados para exibir mensagens de extorsão, exigindo que a Instructure entrasse em negociações diretas com o grupo. Esta ação causou o caos em instituições de ensino distribuídas por estados como Califórnia, Flórida, Geórgia, Nevada, Wisconsin, entre outros. Devido à impossibilidade de aceder à plataforma de forma segura, várias faculdades viram-se forçadas a cancelar exames finais e a suspender atividades cruciais de encerramento do semestre.
Um acordo silencioso para travar a divulgação
A reviravolta no caso surgiu quando a Instructure cede à pressão e paga resgate para travar fuga de dados da plataforma Canvas. Pouco depois de o grupo ShinyHunters ter removido misteriosamente a empresa do seu portal na dark web, a Instructure revelou ter chegado a um acordo com os atacantes para impedir a publicação dos registos e assegurar a eliminação da informação roubada.
Embora a empresa não tenha admitido publicamente o pagamento de um resgate financeiro, o histórico deste tipo de incidentes demonstra que os grupos de extorsão raramente abdicam de publicar os dados ou destroem os ficheiros sem que ocorra uma compensação monetária. Numa atualização recente, os ShinyHunters publicaram um comunicado a confirmar que a base de dados foi totalmente destruída e que o assunto se encontra encerrado, pedindo às instituições de ensino que cessem as tentativas de contacto.
Perante este cenário, o Comité de Segurança Interna do governo norte-americano questiona seriamente a capacidade da empresa para responder a incidentes e proteger as informações que aloja. As autoridades exigiram que a Instructure apresente um relatório detalhado para esclarecer as falhas de segurança, as medidas de contenção adotadas e o processo de coordenação com as agências federais.
Nenhum comentário
Seja o primeiro!