Canvas e ShinyHunters: O Acordo Que Divide Especialistas

Em maio de 2026, o mundo da cibersegurança foi sacudido por um dos maiores vazamentos de dados educacionais da história. A Instructure, empresa-mãe da plataforma Canvas LMS, utilizada por milhares de universidades e escolas em todo o mundo, anunciou ter chegado a um “acordo” com o grupo criminoso ShinyHunters. O grupo havia roubado 3,65 TB de dados de aproximadamente 275 milhões de estudantes, professores e funcionários em cerca de 9.000 instituições de ensino nos EUA, Canadá, Austrália, Reino Unido e além. Neste artigo do Blog Dolutech, analisamos em profundidade o que aconteceu, quem são os responsáveis, o que está em jogo e o que este episódio revela sobre o perigoso modelo de dupla extorsão que domina o cenário do cibercrime atualmente.

O que é o Canvas LMS e por que ele é um alvo crítico

O Canvas é um sistema de gestão de aprendizagem (LMS) desenvolvido pela Instructure, sediada em Utah, nos Estados Unidos. A plataforma é utilizada por mais de 7.000 universidades, distritos K-12 e ministérios de educação em todo o mundo. Nos EUA, o Canvas está presente em 41% das instituições de ensino superior, incluindo todas as oito universidades da Ivy League. Isso torna a Instructure um alvo de alto valor: comprometer uma única plataforma equivale a atingir simultaneamente milhares de instituições e centenas de milhões de utilizadores.

Quando o Canvas é atacado, o impacto não é apenas técnico. A plataforma armazena comunicações privadas entre alunos e professores, pedidos de acomodação médica, histórico académico e identificações institucionais, todos dados sensíveis que vão muito além do simples nome e e-mail.

A Cronologia do Ataque

A linha do tempo do ataque é reveladora, tanto pela sua brutalidade como pela gestão de comunicação questionável da Instructure.

Fase 1: Intrusão silenciosa (abril de 2026)

Em 25 de abril de 2026, atores não autorizados acederam aos sistemas de produção do Canvas. Quatro dias depois, a Instructure detetou a intrusão, revogou os acessos e contratou especialistas forenses externos. A 1 de maio, o CISO Steve Proud notificou os clientes sobre um incidente de cibersegurança. A 2 de maio, a empresa declarou que a situação estava “contida”, uma declaração que, como veremos, seria prematura e enganosa.

Fase 2: ShinyHunters revela o ataque (3 a 7 de maio)

A 3 de maio, o grupo ShinyHunters publicou no seu site de vazamentos na rede Tor a reivindicação do ataque, afirmando ter roubado 3,65 TB de dados de aproximadamente 275 milhões de utilizadores em 9.000 instituições, incluindo milhares de mensagens privadas. O grupo exigiu pagamento com prazo inicial até 6 de maio, ameaçando vazar tudo publicamente.

A 7 de maio, apenas três dias depois da Instructure declarar o incidente “contido”, o Canvas foi atacado novamente. A página de login da plataforma foi desfigurada com uma mensagem de extorsão pública assinada pelo ShinyHunters, visível para alunos e professores em plena época de exames finais em universidades como Harvard, Duke e Michigan. A Instructure retirou a plataforma do ar a meio do dia e descreveu a situação como “manutenção programada”, uma caracterização que os especialistas de segurança criticaram severamente.

Fase 3: O “acordo” (11 de maio de 2026)

A 11 de maio, um dia antes do prazo final estabelecido pelos hackers, a Instructure anunciou ter “chegado a um acordo com o ator não autorizado envolvido neste incidente”. A empresa declarou ter recebido “confirmação digital da destruição dos dados” sob a forma de shred logs, e afirmou que nenhum cliente seria extorquido separadamente. O valor monetário do acordo não foi divulgado publicamente. Especialistas em cibersegurança apontam que as evidências indicam o pagamento de um resgate em Bitcoin, o método típico do ShinyHunters.

Quem é o ShinyHunters?

Para compreender a gravidade do caso, é essencial conhecer o adversário. O ShinyHunters não é um grupo de hackers oportunistas. Trata-se de um coletivo criminoso sofisticado, ativo desde 2020, com uma trajetória de evolução metódica nas suas táticas.

Histórico de ataques

Ao longo dos anos, o grupo passou por várias fases de atuação:

• 2020 a 2021: Roubos massivos de bases de dados de consumidores.
• 2024: Comprometimento de clientes da Snowflake via roubo de credenciais em cloud, incluindo a Ticketmaster, num dos maiores vazamentos de dados de entretenimento já registados.
• 2025: Campanhas de vishing com IA e abuso de tokens OAuth em ambientes Salesforce, afetando mais de 1.000 organizações e alegadamente 1,5 mil milhões de registos. Em agosto de 2025, as autoridades francesas prenderam quatro membros do grupo.
• 2026: Comprometimento de integradores terceiros para atingir vítimas a jusante, seguindo o modelo de ataque à cadeia de fornecimento (supply chain attack).

O grupo opera sob uma estrutura descentralizada com sobreposições operacionais com outros coletivos como o Scattered Spider (UNC3944) e o LAPSUS,formandoumaalianc\caquealgunsanalistaschamamde“ScatteredLAPSUS, formando uma aliança que alguns analistas chamam de “Scattered LAPSUS,formandoumaalianc\c​aquealgunsanalistaschamamde”ScatteredLAPSUS Hunters” (SLH). Esta estrutura difusa é um dos fatores que torna a ação policial mais difícil.

O modus operandi: extorsão sem ransomware tradicional

Ao contrário de grupos como LockBit ou ALPHV, o ShinyHunters não cifra os sistemas das vítimas. O modelo é diferente e, em muitos aspetos, mais eficaz: exfiltração de dados seguida de ameaça de publicação. Não há necessidade de implantar malware destrutivo. Basta roubar, ameaçar e cobrar.

A ligação com a Instructure é mais antiga do que parece

Este não foi o primeiro ataque do ShinyHunters à Instructure. Em setembro de 2025, o grupo havia comprometido o ambiente Salesforce da empresa através de um ataque de engenharia social, um evento que, na altura, foi tratado como incidente isolado. Analistas agora reconhecem que o ataque de setembro foi o “teste de conceito” e que o ataque de abril e maio de 2026 foi a execução em produção. A Instructure recusou-se a pagar em 2025 e o ShinyHunters voltou com mais alavancagem.

Os Dados Expostos: O que estava em risco?

A Instructure confirmou que os dados comprometidos incluem nomes, endereços de e-mail, números de identificação de estudantes e mensagens privadas trocadas entre utilizadores na plataforma. A empresa afirma que senhas, datas de nascimento, documentos de identidade e informações financeiras não foram comprometidos.

No entanto, os dados confirmados são suficientes para riscos significativos, incluindo campanhas de spear-phishing altamente personalizadas usando contexto institucional real, fraude de identidade académica, comprometimento de contas via engenharia social e manipulação de comunicações internas.

Além disso, o Canvas é utilizado em níveis K-12, abrangendo crianças menores de 13 anos sujeitas às proteções mais rígidas da COPPA americana, atualizada e em vigor desde 22 de abril de 2026. A exposição de dados de menores acrescenta uma camada adicional de gravidade regulatória.

O Dilema do Pagamento de Resgate

A decisão da Instructure de chegar a um “acordo” com o ShinyHunters divide a comunidade de cibersegurança. Este é, talvez, o debate mais importante que este caso levanta.

O argumento a favor do pagamento

Uma pesquisa recente revelou que 58% dos CISOs afirmam que pagariam um resgate para minimizar a disrupção operacional, sendo que 63% dos CISOs americanos especificamente assumem esta posição. A lógica é compreensível: quando a alternativa é ver dados de 275 milhões de pessoas expostos publicamente durante a época de exames finais, o custo reputacional e legal pode exceder em muito o valor do resgate.

A Instructure justificou a decisão declarando: “Embora nunca haja certeza total ao lidar com criminosos, acreditámos que era importante dar cada passo dentro do nosso controlo para oferecer paz de espírito adicional aos clientes, na medida do possível.”

O argumento contra o pagamento

O FBI desaconselha fortemente o pagamento de resgates, por razões bem fundamentadas. Pagar valida e financia o modelo de negócio criminoso. Não há garantia real de que os dados foram destruídos. O ShinyHunters opera como um coletivo descentralizado e, mesmo que os negociadores honrem o acordo, afiliados ou compradores a jusante podem não estar vinculados pelos seus termos.

Allison Nixon, diretora de investigação da Unit 221B, argumentou publicamente que as empresas não devem pagar ao ShinyHunters em troca de dados roubados, salientando que o historial de comunicação do grupo não garante integridade no cumprimento do acordo.

Dados da Hiscox indicam que apenas 60% das PMEs que pagaram resgates recuperaram todos ou parte dos seus dados como resultado. Há ainda o risco de se tornar alvo recorrente. O historial da própria Instructure, atacada duas vezes em menos de oito meses pelo mesmo grupo, ilustra bem este ponto.

O modelo de dupla extorsão e os seus efeitos sistémicos

O caso Canvas é um exemplo clássico do modelo de dupla extorsão, agravado por uma terceira camada. Neste modelo, os atacantes primeiro exfiltram os dados, depois exigem pagamento sob ameaça de publicação. O ShinyHunters foi ainda mais longe com uma variante de tripla extorsão: após o prazo inicial passar sem resposta da Instructure, o grupo desfigurou os portais de login de aproximadamente 330 instituições individualmente, passando a exigir pagamento diretamente das escolas. Cada escola tornou-se um alvo separado, amplificando exponencialmente a pressão.

Cada pagamento efetuado reforça este modelo. A decisão da Instructure, compreensível do ponto de vista tático, tem implicações estratégicas negativas para todo o setor.

Implicações Regulatórias e Legais

O impacto do ataque vai muito além da segurança imediata dos dados. As consequências regulatórias e legais serão sentidas por meses, senão anos.

Nos EUA, os dados de estudantes são protegidos pelo FERPA. As obrigações de notificação, no entanto, recaem sobre as próprias escolas e não sobre a Instructure diretamente. A empresa opera sob a exceção de “funcionário escolar” que permite ao fornecedor processar dados regulados pelo FERPA em nome das instituições. Esta exceção está agora sob escrutínio, dado que a comunicação de “manutenção programada” durante um ataque ativo levanta questões sobre a adequação das representações feitas às escolas.

O Congresso dos EUA moveu-se rapidamente: o Comité de Segurança Interna da Câmara enviou uma carta ao CEO da Instructure, Steve Daly, convocando-o a comparecer perante o comité para explicar as circunstâncias de ambas as intrusões. Ações coletivas (class actions) foram já iniciadas por advogados especializados.

Fora dos EUA, o caso tem implicações sob o GDPR europeu e a diretiva NIS2. Para os nossos leitores brasileiros, importa destacar as obrigações previstas na LGPD e nas diretrizes da ANPD, particularmente no que respeita à notificação de violações de dados que envolvam cidadãos brasileiros matriculados em instituições afetadas.

O que as Instituições Devem Fazer Agora

A Dolutech recomenda que universidades, escolas e instituições de ensino que utilizam o Canvas ou qualquer outro LMS tomem medidas imediatas e estruturais.

Medidas imediatas:

• Revogar e regenerar todas as chaves de API do Canvas e reautorizar integrações de terceiros, conforme orientado pela Instructure.
• Alertar utilizadores para o risco elevado de phishing personalizado, uma vez que os atacantes dispõem de contexto institucional real.
• Auditar os fluxos de dados entre o Canvas e plataformas de terceiros, em especial ambientes integrados com Salesforce.
• Monitorizar ativamente contas de e-mail institucionais para tentativas de comprometimento.

Medidas estruturais:

• Implementar autenticação multifator (MFA) em todos os sistemas de gestão académica.
• Rever contratos com fornecedores de EdTech para incluir cláusulas de notificação de incidentes e responsabilidade adequadas.
• Conduzir avaliações de risco de concentração de fornecedores. A dependência de uma única plataforma LMS para milhares de instituições cria um ponto único de falha sistémico.
• Rever e testar planos de resposta a incidentes, incluindo protocolos de comunicação transparente com a comunidade educativa.

O Maior Vazamento Educacional da História

O ataque ao Canvas é considerado o maior vazamento de segurança educacional alguma vez registado, pelo seu alcance global sem precedentes. Para comparação, o ataque ao PowerSchool em janeiro de 2025, que afetou cerca de 62 milhões de estudantes, era considerado na altura um evento sem precedentes. O ataque ao Canvas supera-o em escala por um fator de quatro.

Este é o segundo grande ataque à cadeia de fornecimento de EdTech em dezoito meses. O padrão é claro: as plataformas educacionais tornaram-se alvos prioritários para grupos de extorsão, precisamente porque a concentração de utilizadores sensíveis, a pressão operacional do calendário académico e a menor tolerância histórica das instituições de ensino para o downtime criam condições ideais para a extorsão.

Conclusão

O caso Canvas e Instructure contra o ShinyHunters não é apenas uma história de uma empresa que foi hackeada. É um estudo de caso sobre as consequências de vulnerabilidades não tratadas, comunicação de incidentes inadequada, o dilema ético e estratégico do pagamento de resgates e a escala devastadora que um ataque bem planeado a um fornecedor crítico de infraestrutura educacional pode alcançar.

A questão “a Instructure fez a coisa certa ao pagar?” não tem uma resposta simples. O que é claro é que o modelo de dupla e tripla extorsão está a funcionar e cada pagamento torna o próximo ataque mais provável. Para a comunidade de cibersegurança, este caso reforça a urgência de uma postura proativa: não basta conter o incidente; é necessário antecipar, detetar precocemente e ter planos de resposta robustos que reduzam ao mínimo a alavancagem dos atacantes.

Continuaremos a acompanhar os desenvolvimentos deste caso, incluindo as investigações do Congresso americano, os processos coletivos e as potenciais implicações regulatórias em Portugal, Brasil e restante comunidade lusófona.

Fontes Utilizadas

1. Infosecurity Magazine – “Canvas Maker Instructure Reaches Agreement With Cybercriminals” – https://www.infosecurity-magazine.com/news/canvas-cybercriminals-agreement/
2. Higher Ed Dive – “Canvas owner reaches ‘agreement’ with threat actors after data breach” – https://www.highereddive.com/news/canvas-owner-reaches-agreement-with-threat-actors-after-data-breach/820049/
3. Dark Reading – “Congress Puts Heat on Instructure After Canvas Outage” – https://www.darkreading.com/cyberattacks-data-breaches/congress-instructure-shinyhunters-attacks
4. Wikipedia – “2026 Canvas security incident” – https://en.wikipedia.org/wiki/2026_Canvas_security_incident
5. Halcyon AI – “Education Sector in the Crosshairs: ShinyHunters’ Extortion Campaign Against Instructure” – https://www.halcyon.ai/ransomware-alerts/education-sector-in-the-crosshairs-shinyhunters-extortion-campaign-against-instructure
6. Huntress – “ShinyHunters Threat Actor Profile: TTPs, IoCs & Attacks” – https://www.huntress.com/threat-library/threat-actors/shinyhunters
7. Push Security – “How three techniques are behind ShinyHunters’ 2026 campaigns” – https://pushsecurity.com/blog/analyzing-the-instructure-breach
8. Duke Chronicle – “Instructure strikes agreement with hackers after Canvas breach hits Duke, thousands of other schools” – https://dukechronicle.com/article/duke-university-instructure-reaches-agreement-with-canvas-hackers-shinyhunters-cyberattack-leak-down-stolen-data-ransom-20260512
9. Reed Smith – “Canvas/Instructure cyberattack: Key developments and action items for higher education institutions” – https://www.reedsmith.com/articles/canvasinstructure-cyberattack-key-developments-and-action-items-for-higher-education-institutions/
10. CSO Online – “To pay, or not to pay: 58% of CISOs say they would pay the ransom for their data” – https://www.csoonline.com/article/4176472/to-pay-or-not-to-pay-58-of-cisos-say-they-would-pay-the-ransom-for-their-data.html
11. Compass ITC – “Canvas Breach: What It Means for Schools & FERPA Compliance” – https://www.compassitc.com/blog/canvas-breach-what-it-means-for-schools-ferpa-compliance
12. Trend Micro – “What Is the Instructure Canvas Breach? Impact, Risks, and What Institutions Should Do” – https://www.trendmicro.com/en_us/research/26/e/What-Is-the-Instructure-Canvas-Breach.html
13. EclecticIQ – “ShinyHunters Calling: Financially Motivated Data Extortion Group Targeting Enterprise Cloud Applications” – https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications