Um coletivo de hackers reivindica ter acedido a dados de mais de 275 milhões de utilizadores da plataforma educativa Canvas, utilizada por mais de 9000 escolas e universidades em todo o mundo, incluindo instituições em Portugal. O serviço registou constrangimentos e esteve parcialmente indisponível na quinta-feira, sobretudo nos Estados Unidos, e o grupo responsável exige agora o pagamento de um resgate para não divulgar os dados e mensagens que alega ter obtido.
Segundo explica o jornal Público, a Universidade Europeia e o IPAM asseguram que o incidente “não teve impacto” na disponibilidade dos seus sistemas e que “não foram comprometidas palavras-passe, credenciais de acesso nem outros dados particularmente sensíveis”. Ainda assim, as instituições anunciaram ter ativado “com carácter de urgência” protocolos internos de segurança e mecanismos de coordenação com a Instructure, empresa proprietária do Canvas, com o objetivo de “analisar o alcance do incidente e reforçar as medidas de proteção”.
As duas instituições portuguesas indicaram igualmente ter comunicado o incidente à Comissão Nacional de Proteção de Dados (CNPD), em cumprimento das obrigações legais. Outras universidades nacionais que utilizam o Canvas foram contactadas, aguardando-se esclarecimentos adicionais sobre eventuais impactos.
Nos Estados Unidos, o ataque provocou a interrupção parcial de atividades letivas em várias instituições de referência, entre as quais Harvard, Columbia, Princeton, Rutgers, Georgetown, Pensilvânia, Michigan e o MIT. Algumas destas universidades, segundo a CNN, terão recebido uma nota de resgate enviada pelo grupo ShinyHunters. Perante a indisponibilidade da plataforma (que permite consultar aulas, aceder a apontamentos e assegurar a comunicação entre alunos e docentes), diversas instituições optaram por adiar exames e prazos de entrega de trabalhos. O ataque terá também afetado várias escolas do ensino básico.
De acordo com a Instructure, citada pelo New York Times, o acesso indevido terá ocorrido a 1 de Maio, prolongando-se os efeitos desde então. A empresa admite que os hackers poderão ter obtido dados como nomes, endereços de correio eletrónico, números de estudante e ainda o conteúdo das mensagens trocadas dentro da plataforma.
O coletivo ShinyHunters, sobre o qual existe pouca informação pública, já esteve associado a ataques anteriores contra o serviço de venda de bilhetes Ticketmaster, a tecnológica Microsoft e a operadora norte-americana AT&T. Pelo menos um dos seus membros, Sebastien Raoult, cidadão francês de 22 anos, foi detido em Marrocos em 2022 e condenado pela justiça dos Estados Unidos, em 2024, a três anos de prisão.
Este ano, a Mandiant, empresa de ciber-inteligência detida pela Google, alertou para um aumento da atividade do grupo, que atua sobretudo através de campanhas sofisticadas de phishing dirigidas a funcionários de grandes empresas. O objetivo passa por aceder a sistemas internos, extrair informação sensível e exigir pagamentos em troca da não divulgação dos dados obtidos, estratégia que volta agora a estar no centro do ataque à plataforma Canvas.
