Attacco hacker a Canvas blocca scuole e università USA

Un attacco informatico in corso contro Canvas, la popolare piattaforma educativa, ha paralizzato le attività scolastiche in tutti gli Stati Uniti. Un gruppo criminale ha sostituito la pagina di login del servizio con una richiesta di riscatto, minacciando di pubblicare i dati di 275 milioni tra studenti e docenti di quasi 9.000 istituti.

Instructure, la società che possiede Canvas, ha disabilitato la piattaforma dopo il raid di giovedì 7 maggio, mostrando agli utenti un messaggio di “manutenzione programmata”. L’azienda aveva già riconosciuto una violazione dei dati all’inizio della settimana, dopo che il gruppo ShinyHunters si era preso la responsabilità dell’attacco e aveva chiesto un riscatto, inizialmente con scadenza il 6 maggio, poi spostata al 12 maggio.

In un comunicato del 6 maggio, Instructure ha dichiarato che le indagini preliminari indicano che le informazioni rubate includono “alcuni dati identificativi degli utenti delle istituzioni coinvolte, come nomi, indirizzi email e numeri di matricola, oltre a messaggi scambiati tra utenti”. L’azienda ha aggiunto di non aver trovato prove che siano stati compromessi dati più sensibili come password, date di nascita, documenti di identità o informazioni finanziarie. Il comunicato affermava che Canvas era pienamente operativo e che non era stata rilevata alcuna attività non autorizzata in corso. “In questa fase, riteniamo che l’incidente sia stato contenuto”, scriveva Instructure.

Ma giovedì a metà giornata, studenti e docenti di dozzine di scuole e università hanno iniziato a segnalare sui social media che la richiesta di riscatto di ShinyHunters aveva sostituito la solita pagina di login. Instructure ha risposto mettendo Canvas offline e sostituendo il portale con un messaggio di “manutenzione programmata in corso”. “Prevediamo di tornare operativi a breve e forniremo aggiornamenti appena possibile”, si legge ora sulla pagina di stato di Instructure.

La tempistica dell’attacco è particolarmente delicata: molte scuole e università colpite sono nel bel mezzo degli esami finali, e un’interruzione prolungata potrebbe essere molto dannosa per l’azienda.

Il messaggio di estorsione comparso oggi consigliava alle scuole colpite di negoziare autonomamente il pagamento del riscatto per evitare la pubblicazione dei loro dati, indipendentemente dalla decisione di Instructure di pagare o meno. “ShinyHunters ha violato Instructure (di nuovo)”, si leggeva nel messaggio. “Invece di contattarci per risolvere la questione, ci hanno ignorato e hanno fatto delle ‘patch di sicurezza’.”

Una fonte vicina alle indagini ha riferito a KrebsOnSecurity che diverse università hanno già contattato il gruppo criminale per avviare trattative. La stessa fonte ha anche notato che il blog delle fughe di dati di ShinyHunters non elenca più Instructure tra le sue vittime attuali, e che i campioni dei dati rubati ai clienti Canvas sono stati rimossi. I gruppi di estorsione come ShinyHunters di solito rimuovono le vittime dai loro siti solo dopo aver ricevuto un pagamento o dopo che la vittima accetta di negoziare.

Dipan Mann, fondatore e CEO della società di sicurezza Cloudskope, ha criticato Instructure per aver definito l’interruzione di oggi come un evento di “manutenzione programmata” sulla sua pagina di stato. Mann ha detto che ShinyHunters ha dimostrato di aver violato Instructure per la prima volta il 1° maggio, portando il Chief Information Security Officer di Instructure, Steve Proud, a dichiarare il giorno successivo che l’incidente era stato contenuto. Ma secondo Mann, l’attacco di oggi è almeno la terza volta negli ultimi otto mesi che Instructure viene violata da ShinyHunters.

In un post pubblicato oggi, Mann ha ricordato che a settembre 2025 ShinyHunters aveva rilasciato migliaia di file interni dell’Università della Pennsylvania — registri di donazioni, memo interni e altri materiali riservati — attraverso un percorso di accesso mediato da Canvas/Instructure, come stabilito in seguito dal Daily Pennsylvanian e da altre testate. “Pennsylvania era la vittima designata”, ha scritto Mann. “Instructure era il meccanismo. L’incidente è stato trattato dalla maggior parte della stampa nazionale come una storia specifica di Penn e gestito silenziosamente da Instructure come una questione relativa a un singolo cliente. Quella cornice era sbagliata allora. È drammaticamente più sbagliata alla luce degli eventi del maggio 2026, che ora sembrano l’escalation pianificata di un modello di attacco che ShinyHunters stava mettendo in atto contro l’ambiente di Instructure da almeno otto mesi. La violazione di Penn del settembre 2025 è stata la prova di concetto. L’incidente del 1° maggio 2026 è stato la produzione in scala reale. Il nuovo compromesso del 7 maggio 2026 è stato ShinyHunters che ha dimostrato pubblicamente che il ‘contenimento’ del 2 maggio non è avvenuto.”

A febbraio, un portavoce di ShinyHunters aveva detto al Daily Pennsylvanian che Penn non aveva pagato un riscatto di 1 milione di dollari. Il 5 marzo, ShinyHunters ha pubblicato 461 megabyte di dati rubati a Penn, tra cui migliaia di file come registri di donazioni e memo interni.

ShinyHunters è un gruppo criminale informatico prolifico e fluido, specializzato in furto di dati ed estorsione. Di solito ottiene l’accesso alle aziende tramite attacchi di phishing vocale e ingegneria sociale, spesso impersonando il personale IT o altri membri fidati dell’organizzazione target. Il mese scorso, ShinyHunters ha rubato i dati personali di 5,5 milioni di clienti di ADT, il colosso della sicurezza domestica. Secondo BleepingComputer, il gruppo ha violato l’azienda compromettendo l’account Okta di un dipendente con un attacco di phishing vocale che ha permesso l’accesso all’istanza Salesforce di ADT. BleepingComputer riferisce che ShinyHunters si è recentemente attribuita diversi attacchi estorsivi contro organizzazioni di alto profilo, tra cui Medtronic, Rockstar Games, McGraw Hill, 7-Eleven e la compagnia di crociere Carnival.

L’attacco ai clienti Canvas è solo una delle numerose campagne criminali informatiche lanciate da ShinyHunters in questo periodo, ha dichiarato Charles Carmakal, Chief Technology Officer di Mandiant Consulting (di proprietà di Google). Carmakal ha rifiutato di commentare specificamente la violazione di Canvas, ma ha detto che “ci sono multiple campagne di intrusione ed estorsione concorrenti e distinte di ShinyHunters in corso in questo momento”.

Mann di Cloudskope ha detto che ciò che accadrà dopo dipende in gran parte dal fatto che i clienti di Instructure — università, distretti scolastici K-12 e ministeri dell’istruzione che pagano per Canvas — scelgano di fare pressione o di assorbire la violazione in silenzio. “La storia degli incidenti legati ai fornitori di servizi educativi suggerisce che la strada di minor resistenza è la seconda”, ha concluso.

Aggiornamento, 8 maggio, ore 11:05 ET: Instructure ha pubblicato una pagina di aggiornamento sull’incidente con ulteriori informazioni sulla violazione. L’azienda ha dichiarato che il portale Canvas è di nuovo funzionante normalmente e che gli hacker hanno sfruttato un problema relativo agli account Free-for-Teacher. “Questo è lo stesso problema che ha portato all’accesso non autorizzato la settimana precedente”, ha scritto Instructure. “Di conseguenza, abbiamo preso la difficile decisione di disattivare temporaneamente gli account Free-for-Teacher. Questi account sono stati una parte fondamentale della nostra piattaforma e siamo impegnati a risolvere i problemi relativi a questi account.” Instructure ha dichiarato che le organizzazioni colpite sono state notificate.