Violazione dei dati Canvas LMS: Instructure paga il riscatto per 275 milioni di record

12.05.2026 3
Violazione dei dati Canvas LMS: Instructure paga il riscatto per 275 milioni di record

Documentata oggi come la più grande violazione dei dati nella storia dell'istruzione, la violazione dei dati di Canvas LMS ha visto il gruppo hacker ShinyHunters sottrarre 3,65 terabyte di dati relativi a 275 milioni di studenti e personale di 8.809 università in tutto il mondo. L'11 maggio 2026, Instructure - la società dietro Canvas - ha confermato il pagamento di un riscatto non divulgato e la distruzione dei dati rubati.

Come ShinyHunters ha eseguito la violazione dei dati di Canvas LMS

L'attacco è iniziato il 25 aprile 2026. ShinyHunters ha sfruttato una vulnerabilità nel programma Free-For-Teacher di Canvas - account per docenti senza rigida verifica dell'identità - per ottenere accesso iniziale alla rete. Il 3 maggio, il gruppo ha rivendicato la responsabilità e minacciato di pubblicare l'intero database di 3,65 TB se Instructure non avesse pagato entro il 12 maggio.

Instructure ha inizialmente mantenuto il silenzio. ShinyHunters ha risposto il 7 maggio con una seconda intrusione - deturpando la pagina di accesso di Canvas per dimostrare il proprio accesso continuato e azzerare il conto alla rovescia. Il doppio attacco ha colto di sorpresa le università di USA, Canada, Europa e Australia nel pieno della sessione degli esami, costringendo molte a posticipare le prove finali.

275 milioni di record: cosa è stato esattamente rubato?

  • Dati personali: nomi completi, indirizzi, e-mail e numeri identificativi di studenti e personale di 8.809 istituzioni.
  • Comunicazioni private: messaggi diretti, commenti ai compiti e e-mail riservate tra studenti e docenti tramite Canvas.
  • Dati accademici: nomi dei corsi, stato di iscrizione, voti storici e registri accademici permanenti.
  • Portata totale: 275 milioni di persone da università, ministeri dell'istruzione e scuole in decine di paesi.

Harvard University, Duke University e l'Università della Pennsylvania figurano tra le prime istituzioni ufficialmente colpite. La violazione dei dati di Canvas LMS è già catalogata da Wikipedia come il più grande cyberattacco nel settore educativo.

Instructure paga - ma i dati sono davvero stati distrutti?

L'11 maggio, Instructure ha presentato scuse pubbliche per la mancanza di trasparenza e annunciato di aver raggiunto un accordo con ShinyHunters per una somma non divulgata. I dati comprometessi sarebbero stati distrutti definitivamente dopo il pagamento.

Importante: gli esperti di cybersicurezza avvertono che il pagamento di un riscatto non garantisce la distruzione dei dati. Non esiste un modo indipendente per verificare che ShinyHunters abbia cancellato 3,65 TB. Tutti gli studenti e il personale interessati devono considerare le proprie informazioni come potenzialmente ancora nel dark web.

La vulnerabilità che ha reso possibile l'attacco

Il vettore di attacco - account per docenti gratuiti senza verifica dell'identità - evidenzia un divario sistemico nella sicurezza delle piattaforme educative moderne. ShinyHunters ha utilizzato credenziali che la piattaforma stessa offriva liberamente per penetrare nell'infrastruttura protegida. Non erano necessari exploit zero-day sofisticati, solo lo sfruttamento di una falla logica nei privilegi.

Ricercatori di Halcyon e Bitdefender hanno rilevato che l'attacco si inserisce in un modello più ampio di ransomware nel settore educativo, che detiene grandi volumi di dati con budget di sicurezza ridotti rispetto alle aziende.

Perché la sicurezza della rete è più importante che mai

Questa violazione sottolinea una lezione fondamentale: proteggere la propria connessione è la prima linea di difesa personale. Gli hacker acquisiscono credenziali intercettando il traffico non cifrato sulle reti Wi-Fi pubbliche dei campus. Una sola credenziale compromessa può servire per sondare piattaforme come Canvas.

Cifrando la propria connessione, studenti e docenti rendono più difficile la cattura di sessioni o password in rete locale. Ridurre l'esposizione sulle reti pubbliche resta una pratica sensata - e il tipo di scenario in cui una VPN offre una protezione concreta.

Cosa devono fare immediatamente gli studenti colpiti

  1. Cambia la password Canvas e attiva l'autenticazione a più fattori tramite un'app autenticatore.
  2. Presta attenzione alle e-mail di phishing indirizzate al tuo indirizzo istituzionale.
  3. Se hai usato la stessa password Canvas altrove, cambiala immediatamente.
  4. Monitora attività di accesso insolite su tutti gli account collegati alla tua e-mail istituzionale.

Conclusione

Conclusione: La violazione dei dati di Canvas LMS rappresenta un punto di svolta per la sicurezza digitale nell'istruzione globale. Instructure ha pagato per eliminare la minaccia immediata, ma il problema sistemico rimane: piattaforme centralizzate con centinaia di milioni di record e controlli di accesso insufficienti. Finché non si implementerà una verifica per i conti privilegiati, questo schema di estorsione resterà efficace.
Fonti:
Instructure Reaches Ransom Agreement with ShinyHunters - The Hacker News
Instructure Pays Ransom to Canvas Hackers - Inside Higher Ed
Millions of Students Personal Data Stolen - Malwarebytes
ShinyHunters Claims Second Attack Against Instructure - Dark Reading
Tag: violazione dei dati sicurezza informatica sicurezza privacy usa

Leggi anche

Nuova Cyber-Strategia USA 2026: Perché il governo esorta tutti a usare una VPN
09.03.2026
Nuova Cyber-Strategia USA 2026: Perché il governo esorta tutti a usare una VPN
Pavel Durov avverte: Le nuove leggi spagnole sono un passo verso la dittatura digitale e la sorveglianza totale
09.02.2026
Pavel Durov avverte: Le nuove leggi spagnole sono un passo verso la dittatura digitale e la sorveglianza totale
La Spagna vieta i social media ai minori di 16 anni
04.02.2026
La Spagna vieta i social media ai minori di 16 anni
Torna all'elenco degli articoli