Já documentado como o maior vazamento de dados na história da educação, o vazamento de dados do Canvas LMS teve o grupo de hackers ShinyHunters roubando 3,65 terabytes de dados de 275 milhões de estudantes e funcionários de 8.809 universidades em todo o mundo. Em 11 de maio de 2026, a Instructure - a empresa por trás do Canvas - confirmou o pagamento de um resgate não divulgado e a destruição dos dados roubados.
Como o ShinyHunters executou o vazamento de dados do Canvas LMS
O ataque começou em 25 de abril de 2026. O ShinyHunters explorou uma vulnerabilidade no programa Free-For-Teacher do Canvas - contas disponíveis para educadores sem verificação rigorosa de identidade - para obter acesso inicial à rede. Em 3 de maio, o grupo reivindicou a responsabilidade e ameaçou divulgar todo o banco de dados de 3,65 TB se a Instructure não pagasse até 12 de maio.
A Instructure ficou inicialmente em silêncio. O ShinyHunters respondeu em 7 de maio com uma segunda intrusão - desfigurando a página de login do Canvas para demonstrar acesso contínuo e reiniciar o contador. O duplo ataque deixou universidades dos EUA, Canadá, Europa e Austrália em colapso durante os exames finais, forçando muitas a adiá-los.
275 milhões de registros: o que exatamente foi roubado?
- Dados pessoais: nomes completos, endereços, e-mails e números de identificação de estudantes e funcionários de 8.809 instituições.
- Comunicações privadas: mensagens diretas, feedback de tarefas e e-mails confidenciais trocados entre estudantes e professores pelo Canvas.
- Dados acadêmicos: nomes de cursos, status de matrícula, notas históricas e registros acadêmicos permanentes.
- Escala total: 275 milhões de pessoas de universidades, ministérios de educação e escolas em dezenas de países.
Harvard University, Duke University e a Universidade da Pensilvânia estão entre as primeiras instituições confirmadas como afetadas. O vazamento de dados do Canvas LMS já está catalogado pela Wikipedia como o maior ciberataque no setor educacional.
A Instructure paga - mas os dados realmente foram destruídos?
Em 11 de maio, a Instructure emitiu um pedido público de desculpas pela falta de transparência e anunciou ter chegado a um acordo com o ShinyHunters por uma quantia não divulgada. Os dados comprometidos foram destruídos permanentemente após o pagamento, segundo a empresa.
A falha de segurança que tornou isso possível
O vetor de ataque - contas de professores gratuitas sem verificação de identidade - evidencia uma lacuna sistêmica na segurança das plataformas educacionais modernas. O ShinyHunters usou credenciais que a própria plataforma oferecia livremente para acessar a infraestrutura protegida. Não foram necessários exploits zero-day sofisticados, apenas explorar uma falha lógica no gerenciamento de privilégios.
Pesquisadores da Halcyon e da Bitdefender observaram que o ataque se encaixa em um padrão de ransomware mirando o setor educacional, com grandes volumes de dados pessoais e orçamentos de segurança menores que empresas.
Por que a segurança de rede importa mais do que nunca
Esse vazamento ressalta uma lição crítica: proteger sua conexão é a primeira linha de defesa pessoal. Hackers frequentemente obtêm credenciais interceptando tráfego não criptografado em redes Wi-Fi públicas de campus. Uma única credencial comprometida pode ser usada para explorar vulnerabilidades em plataformas como o Canvas.
Ao criptografar sua conexão, estudantes e educadores dificultam que atacantes capturem sessões ou senhas. Reduzir a exposição em redes públicas é uma prática prudente - e exatamente o tipo de cenário em que uma VPN oferece uma camada de proteção significativa.
O que os estudantes afetados devem fazer imediatamente
- Altere sua senha do Canvas e ative a autenticação multifator por meio de um aplicativo autenticador.
- Fique atento a e-mails de phishing direcionados ao seu endereço de e-mail institucional.
- Se reutilizou sua senha do Canvas em outras plataformas, altere-as imediatamente.
- Monitore atividades de login incomuns em todas as contas vinculadas ao seu e-mail institucional.
